Sistemas ERP en el punto de mira
El incidente en torno a CVE-2025-31324 en SAP NetWeaver Visual Composer en la primavera de este año comenzó como muchos informes de seguridad: como una nota técnica que sólo parecía preocupar a los especialistas. Pocos días después, se hizo evidente que la vulnerabilidad había sido explotada a gran escala. La puntuación CVSS de 10 señalaba que se trataba de una de las vulnerabilidades más peligrosas conocidas en sistemas ERP en los últimos años.
Peticiones HTTP preparadas
En concreto, los atacantes aprovecharon la brecha para infiltrar código malicioso a través de peticiones HTTP preparadas, instalar web shells y establecer así un acceso remoto a largo plazo, entre otras cosas, para poder acceder a datos sensibles. No sólo se vieron afectados los sistemas productivos, sino también los sistemas de prueba y desarrollo accesibles a través de Internet. Especialmente sensibles: Incluso en escenarios en la nube como en entornos Rise, donde Visual Composer no se utilizaba oficialmente, el componente estaba instalado - y el sistema era, por tanto, teóricamente vulnerable. Esto demuestra que los atacantes ya no sólo se dirigen a los módulos centrales productivos, sino que también utilizan componentes periféricos como puerta de entrada al corazón del entorno ERP.
Un ataque con éxito a un sistema ERP rara vez se limita a un área. En el ejemplo de una empresa manufacturera, las líneas de producción pueden paralizarse, las entregas pueden retrasarse, los niveles de existencias pueden mostrarse incorrectamente o los pedidos pueden ejecutarse de forma incorrecta. En el peor de los casos, el incidente se extiende a lo largo de la cadena de suministro y afecta también a socios y clientes.
En un mundo interconectado, el fallo de un sistema ERP puede causar daños duraderos a la reputación de una empresa. Las empresas que cotizan en bolsa también corren el riesgo de perder cotización si los ataques se hacen públicos. Las obligaciones de cumplimiento, como los plazos de información a las autoridades supervisoras, aumentan la presión. La seguridad estratégica es, por tanto, lo más importante.
Los límites de la confianza en la nube
Para muchas empresas, Rise with SAP es la clave para modernizar su panorama ERP. El proveedor se hace cargo de la infraestructura, el sistema operativo y los parches de las bases de datos, lo que libera recursos. Pero aquí es precisamente donde está el escollo: la responsabilidad de la seguridad no termina en el límite de la pila del proveedor.
Todo lo que va más allá de la infraestructura básica, como las extensiones específicas del cliente, las funciones y autorizaciones, las interfaces con socios y las aplicaciones externas, es responsabilidad de la empresa.
Caso de día cero
El caso del día cero deja claro que las brechas pueden producirse en cualquier lugar y amenazar a toda la empresa, incluso en áreas que no se utilizan activamente. Si todos los sistemas e interfaces no se revisan y parchean con regularidad, se crea una superficie de ataque inadvertida que crece y crece.
En la práctica, las empresas confían cada vez más en los análisis automatizados de vulnerabilidades y las soluciones de supervisión continua, como las que ofrecen proveedores especializados como Onapsis.
Estas herramientas ayudan a vigilar incluso entornos Rise complejos las 24 horas del día y, al mismo tiempo, alivian la carga de los equipos de seguridad, un factor importante no sólo en lo que respecta a los ataques cada vez más complejos, sino también ante el aumento de las exigencias y la escasez de mano de obra cualificada en seguridad informática.
La migración a Rise con SAP no es sólo un proyecto técnicamente necesario, sino también una oportunidad para identificar y eliminar problemas heredados. En la práctica, sin embargo, a menudo se transfieren sistemas completos "lift-and-shift", incluidos códigos personalizados obsoletos, módulos no utilizados e interfaces abiertas.
El legado en el punto de mira
Estos sistemas heredados son un objetivo atractivo para los atacantes. Suelen contener código conocido pero sin parches, lo que supone un alto riesgo para el sistema, y su seguridad pasa desapercibida si la atención se centra exclusivamente en la nueva plataforma.
Por lo tanto, es esencial realizar un inventario exhaustivo antes de que los sistemas pasen a la nube para lograr transparencia y eliminar cualquier aplicación, código personalizado, interfaz y similares que ya no se utilicen. Las herramientas de inventario y análisis ayudan a los equipos de ERP a identificar y priorizar los riesgos potenciales antes de que se conviertan en puntos débiles.
Entorno ERP de alto riesgo
Los sistemas ERP están cada vez más en el punto de mira de la ciberdelincuencia organizada. Además de los ataques selectivos de atacantes privados y grupos patrocinados por el Estado, también están aumentando las campañas de ransomware, que paralizan específicamente los procesos empresariales con el fin de respaldar las peticiones de rescate.
Los atacantes utilizan cada vez más combinaciones: Primero, por ejemplo, se obtiene un acceso inicial a través de una vulnerabilidad no parcheada, luego se amplían las autorizaciones, se desvían los datos y -a menudo semanas después- se cifran los sistemas. Este enfoque paso a paso dificulta la detección y aumenta los daños.
En el peor de los casos, el ataque sólo se produce en el momento del cifrado. Entonces, cuando ya es demasiado tarde y la información sensible ya ha circulado.
La información actualizada sobre amenazas procedente de laboratorios de investigación especializados, como Onapsis Research Labs, puede ayudar a identificar nuevos patrones de ataque en una fase temprana e iniciar contramedidas antes de que se produzcan daños.
Proporcionan información exhaustiva sobre sus observaciones en tiempo real y ofrecen recomendaciones de actuación para proteger a las empresas y sus sistemas ERP de la mejor manera posible.
Vulnerabilidades como la del día cero descrita al principio del artículo subrayan la importancia de la rapidez de respuesta. Los atacantes suelen empezar a buscar sistemas vulnerables apenas unas horas después de la publicación de los detalles del exploit.
Las empresas que necesitan demasiado tiempo para las pruebas, las aprobaciones y, por tanto, la aplicación de parches, aumentan considerablemente su riesgo. Aquí es donde la automatización desempeña un papel clave. Las soluciones automatizadas pueden priorizar los parches y los cambios de configuración, analizar las dependencias y documentar la aplicación, lo que no sólo aumenta la velocidad, sino que también respalda los requisitos de auditoría. Especialmente en tiempos de escasez de recursos de personal, este alivio es también una ventaja decisiva.
Seguimiento y análisis
La cantidad de datos en los entornos ERP Rise o híbridos es enorme. Sin un análisis inteligente, es fácil crear un "ruido" en el que se pierden las amenazas reales. Los procesos de análisis automatizados adecuados pueden reconocer aquí patrones que difícilmente serían visibles manualmente, como patrones de acceso inusuales a determinadas tablas o una acumulación repentina de inicios de sesión fallidos desde regiones geográficamente distantes. Proveedores como Onapsis combinan estas funciones de análisis con información sobre amenazas procedente de sus propios laboratorios de investigación. Esto permite evaluar las anomalías reconocidas no sólo desde el punto de vista técnico, sino también en el contexto de las campañas de ataque en curso. Esto permite determinar con mayor rapidez si un incidente es aislado o forma parte de una oleada de ataques coordinados de mayor envergadura.
El cumplimiento como motor
Si, por ejemplo, una empresa química activa en todo el mundo descubre que una interfaz de ERP a un sistema de laboratorio está conectada a Internet sin protección, esto no solo puede poner en peligro los procesos de producción, sino también infringir la normativa medioambiental. Una empresa minorista cuyo ERP en la nube es accesible a través de puntos finales de API inseguros se arriesga no sólo a pérdidas financieras, sino también a daños en su reputación a largo plazo. Estos escenarios son realistas y evitables.
Además, los requisitos reglamentarios como la Directiva NIS2 de la Unión Europea, las normas de seguridad específicas del sector y las normas internacionales están aumentando la presión para proteger de forma fiable los sistemas ERP y los datos sensibles. Aquellos que actúan de forma proactiva no solo reducen el riesgo de multas, sino que también crean una arquitectura de seguridad resistente.
Estos marcos de cumplimiento actúan como catalizadores: obligan a las organizaciones a documentar sus procesos de seguridad, definir responsabilidades y realizar revisiones periódicas. Pero esto por sí solo no protege. Si las auditorías sólo se cumplen formalmente mientras persisten auténticas lagunas de seguridad, se crea una falsa sensación de seguridad. Por eso es crucial un enfoque integrado que combine los requisitos de cumplimiento y las medidas técnicas de protección, con el apoyo de controles continuos y automatizados.
Conclusión: la proactividad como principio rector
La seguridad de los ERP no debe reducirse a la simple aplicación de parches. Es necesario establecer un proceso continuo: inventarios y evaluaciones periódicas, análisis de riesgos, formación y una estrecha integración de los departamentos informáticos y especializados. Los modelos en nube, como Rise con SAP, no cambian nada al respecto. Al contrario: exigen que los procesos de seguridad funcionen a la perfección más allá de los límites de la empresa, desde el proveedor hasta los equipos de TI internos y los socios externos. Solo aquellos que aborden la seguridad de su ERP de forma proactiva y estratégica, con el apoyo de la automatización moderna y una sólida inteligencia sobre amenazas, podrán seguir siendo capaces de actuar en una situación de amenaza como la actual.
DE
EN
ES
FR
