{"id":155993,"date":"2025-10-16T07:00:00","date_gmt":"2025-10-16T05:00:00","guid":{"rendered":"http:\/\/e3mag.com\/?p=155993"},"modified":"2025-10-08T11:42:32","modified_gmt":"2025-10-08T09:42:32","slug":"los-sistemas-erp-en-el-punto-de-mira","status":"publish","type":"post","link":"https:\/\/e3mag.com\/es\/los-sistemas-erp-en-el-punto-de-mira\/","title":{"rendered":"Sistemas ERP en el punto de mira"},"content":{"rendered":"<p>El incidente en torno a CVE-2025-31324 en SAP NetWeaver Visual Composer en la primavera de este a\u00f1o comenz\u00f3 como muchos informes de seguridad: como una nota t\u00e9cnica que s\u00f3lo parec\u00eda preocupar a los especialistas. Pocos d\u00edas despu\u00e9s, se hizo evidente que la vulnerabilidad hab\u00eda sido explotada a gran escala. La puntuaci\u00f3n CVSS de 10 se\u00f1alaba que se trataba de una de las vulnerabilidades m\u00e1s peligrosas conocidas en sistemas ERP en los \u00faltimos a\u00f1os.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Peticiones HTTP preparadas<\/h2>\n\n\n\n\n\n\n\n<p>En concreto, los atacantes aprovecharon la brecha para infiltrar c\u00f3digo malicioso a trav\u00e9s de peticiones HTTP preparadas, instalar web shells y establecer as\u00ed un acceso remoto a largo plazo, entre otras cosas, para poder acceder a datos sensibles. No s\u00f3lo se vieron afectados los sistemas productivos, sino tambi\u00e9n los sistemas de prueba y desarrollo accesibles a trav\u00e9s de Internet. Especialmente sensibles: Incluso en escenarios en la nube como en entornos Rise, donde Visual Composer no se utilizaba oficialmente, el componente estaba instalado - y el sistema era, por tanto, te\u00f3ricamente vulnerable. Esto demuestra que los atacantes ya no s\u00f3lo se dirigen a los m\u00f3dulos centrales productivos, sino que tambi\u00e9n utilizan componentes perif\u00e9ricos como puerta de entrada al coraz\u00f3n del entorno ERP.<\/p>\n\n\n\n<p>Un ataque con \u00e9xito a un sistema ERP rara vez se limita a un \u00e1rea. En el ejemplo de una empresa manufacturera, las l\u00edneas de producci\u00f3n pueden paralizarse, las entregas pueden retrasarse, los niveles de existencias pueden mostrarse incorrectamente o los pedidos pueden ejecutarse de forma incorrecta. En el peor de los casos, el incidente se extiende a lo largo de la cadena de suministro y afecta tambi\u00e9n a socios y clientes.<\/p>\n\n\n\n<p>En un mundo interconectado, el fallo de un sistema ERP puede causar da\u00f1os duraderos a la reputaci\u00f3n de una empresa. Las empresas que cotizan en bolsa tambi\u00e9n corren el riesgo de perder cotizaci\u00f3n si los ataques se hacen p\u00fablicos. Las obligaciones de cumplimiento, como los plazos de informaci\u00f3n a las autoridades supervisoras, aumentan la presi\u00f3n. La seguridad estrat\u00e9gica es, por tanto, lo m\u00e1s importante.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Los l\u00edmites de la confianza en la nube<\/h2>\n\n\n\n\n\n\n\n<p>Para muchas empresas, Rise with SAP es la clave para modernizar su panorama ERP. El proveedor se hace cargo de la infraestructura, el sistema operativo y los parches de las bases de datos, lo que libera recursos. Pero aqu\u00ed es precisamente donde est\u00e1 el escollo: la responsabilidad de la seguridad no termina en el l\u00edmite de la pila del proveedor.<\/p>\n\n\n\n<p>Todo lo que va m\u00e1s all\u00e1 de la infraestructura b\u00e1sica, como las extensiones espec\u00edficas del cliente, las funciones y autorizaciones, las interfaces con socios y las aplicaciones externas, es responsabilidad de la empresa.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Caso de d\u00eda cero<\/h2>\n\n\n\n\n\n\n\n<p>El caso del d\u00eda cero deja claro que las brechas pueden producirse en cualquier lugar y amenazar a toda la empresa, incluso en \u00e1reas que no se utilizan activamente. Si todos los sistemas e interfaces no se revisan y parchean con regularidad, se crea una superficie de ataque inadvertida que crece y crece.<\/p>\n\n\n\n<p>En la pr\u00e1ctica, las empresas conf\u00edan cada vez m\u00e1s en los an\u00e1lisis automatizados de vulnerabilidades y las soluciones de supervisi\u00f3n continua, como las que ofrecen proveedores especializados como Onapsis.<br>Estas herramientas ayudan a vigilar incluso entornos Rise complejos las 24 horas del d\u00eda y, al mismo tiempo, alivian la carga de los equipos de seguridad, un factor importante no s\u00f3lo en lo que respecta a los ataques cada vez m\u00e1s complejos, sino tambi\u00e9n ante el aumento de las exigencias y la escasez de mano de obra cualificada en seguridad inform\u00e1tica.<\/p>\n\n\n\n<p>La migraci\u00f3n a Rise con SAP no es s\u00f3lo un proyecto t\u00e9cnicamente necesario, sino tambi\u00e9n una oportunidad para identificar y eliminar problemas heredados. En la pr\u00e1ctica, sin embargo, a menudo se transfieren sistemas completos \"lift-and-shift\", incluidos c\u00f3digos personalizados obsoletos, m\u00f3dulos no utilizados e interfaces abiertas.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">El legado en el punto de mira<\/h2>\n\n\n\n\n\n\n\n<p>Estos sistemas heredados son un objetivo atractivo para los atacantes. Suelen contener c\u00f3digo conocido pero sin parches, lo que supone un alto riesgo para el sistema, y su seguridad pasa desapercibida si la atenci\u00f3n se centra exclusivamente en la nueva plataforma.<\/p>\n\n\n\n<p>Por lo tanto, es esencial realizar un inventario exhaustivo antes de que los sistemas pasen a la nube para lograr transparencia y eliminar cualquier aplicaci\u00f3n, c\u00f3digo personalizado, interfaz y similares que ya no se utilicen. Las herramientas de inventario y an\u00e1lisis ayudan a los equipos de ERP a identificar y priorizar los riesgos potenciales antes de que se conviertan en puntos d\u00e9biles.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Entorno ERP de alto riesgo<\/h2>\n\n\n\n\n\n\n\n<p>Los sistemas ERP est\u00e1n cada vez m\u00e1s en el punto de mira de la ciberdelincuencia organizada. Adem\u00e1s de los ataques selectivos de atacantes privados y grupos patrocinados por el Estado, tambi\u00e9n est\u00e1n aumentando las campa\u00f1as de ransomware, que paralizan espec\u00edficamente los procesos empresariales con el fin de respaldar las peticiones de rescate.<\/p>\n\n\n\n<p>Los atacantes utilizan cada vez m\u00e1s combinaciones: Primero, por ejemplo, se obtiene un acceso inicial a trav\u00e9s de una vulnerabilidad no parcheada, luego se ampl\u00edan las autorizaciones, se desv\u00edan los datos y -a menudo semanas despu\u00e9s- se cifran los sistemas. Este enfoque paso a paso dificulta la detecci\u00f3n y aumenta los da\u00f1os.<\/p>\n\n\n\n<p>En el peor de los casos, el ataque s\u00f3lo se produce en el momento del cifrado. Entonces, cuando ya es demasiado tarde y la informaci\u00f3n sensible ya ha circulado.<br>La informaci\u00f3n actualizada sobre amenazas procedente de laboratorios de investigaci\u00f3n especializados, como Onapsis Research Labs, puede ayudar a identificar nuevos patrones de ataque en una fase temprana e iniciar contramedidas antes de que se produzcan da\u00f1os. <\/p>\n\n\n\n<p>Proporcionan informaci\u00f3n exhaustiva sobre sus observaciones en tiempo real y ofrecen recomendaciones de actuaci\u00f3n para proteger a las empresas y sus sistemas ERP de la mejor manera posible.<br>Vulnerabilidades como la del d\u00eda cero descrita al principio del art\u00edculo subrayan la importancia de la rapidez de respuesta. Los atacantes suelen empezar a buscar sistemas vulnerables apenas unas horas despu\u00e9s de la publicaci\u00f3n de los detalles del exploit.<\/p>\n\n\n\n<p>Las empresas que necesitan demasiado tiempo para las pruebas, las aprobaciones y, por tanto, la aplicaci\u00f3n de parches, aumentan considerablemente su riesgo. Aqu\u00ed es donde la automatizaci\u00f3n desempe\u00f1a un papel clave. Las soluciones automatizadas pueden priorizar los parches y los cambios de configuraci\u00f3n, analizar las dependencias y documentar la aplicaci\u00f3n, lo que no s\u00f3lo aumenta la velocidad, sino que tambi\u00e9n respalda los requisitos de auditor\u00eda. Especialmente en tiempos de escasez de recursos de personal, este alivio es tambi\u00e9n una ventaja decisiva.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Seguimiento y an\u00e1lisis<\/h2>\n\n\n\n\n\n\n\n<p>La cantidad de datos en los entornos ERP Rise o h\u00edbridos es enorme. Sin un an\u00e1lisis inteligente, es f\u00e1cil crear un \"ruido\" en el que se pierden las amenazas reales. Los procesos de an\u00e1lisis automatizados adecuados pueden reconocer aqu\u00ed patrones que dif\u00edcilmente ser\u00edan visibles manualmente, como patrones de acceso inusuales a determinadas tablas o una acumulaci\u00f3n repentina de inicios de sesi\u00f3n fallidos desde regiones geogr\u00e1ficamente distantes. Proveedores como Onapsis combinan estas funciones de an\u00e1lisis con informaci\u00f3n sobre amenazas procedente de sus propios laboratorios de investigaci\u00f3n. Esto permite evaluar las anomal\u00edas reconocidas no s\u00f3lo desde el punto de vista t\u00e9cnico, sino tambi\u00e9n en el contexto de las campa\u00f1as de ataque en curso. Esto permite determinar con mayor rapidez si un incidente es aislado o forma parte de una oleada de ataques coordinados de mayor envergadura.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">El cumplimiento como motor<\/h2>\n\n\n\n\n\n\n\n<p>Si, por ejemplo, una empresa qu\u00edmica activa en todo el mundo descubre que una interfaz de ERP a un sistema de laboratorio est\u00e1 conectada a Internet sin protecci\u00f3n, esto no solo puede poner en peligro los procesos de producci\u00f3n, sino tambi\u00e9n infringir la normativa medioambiental. Una empresa minorista cuyo ERP en la nube es accesible a trav\u00e9s de puntos finales de API inseguros se arriesga no s\u00f3lo a p\u00e9rdidas financieras, sino tambi\u00e9n a da\u00f1os en su reputaci\u00f3n a largo plazo. Estos escenarios son realistas y evitables.<\/p>\n\n\n\n<p>Adem\u00e1s, los requisitos reglamentarios como la Directiva NIS2 de la Uni\u00f3n Europea, las normas de seguridad espec\u00edficas del sector y las normas internacionales est\u00e1n aumentando la presi\u00f3n para proteger de forma fiable los sistemas ERP y los datos sensibles. Aquellos que act\u00faan de forma proactiva no solo reducen el riesgo de multas, sino que tambi\u00e9n crean una arquitectura de seguridad resistente.<\/p>\n\n\n\n<p>Estos marcos de cumplimiento act\u00faan como catalizadores: obligan a las organizaciones a documentar sus procesos de seguridad, definir responsabilidades y realizar revisiones peri\u00f3dicas. Pero esto por s\u00ed solo no protege. Si las auditor\u00edas s\u00f3lo se cumplen formalmente mientras persisten aut\u00e9nticas lagunas de seguridad, se crea una falsa sensaci\u00f3n de seguridad. Por eso es crucial un enfoque integrado que combine los requisitos de cumplimiento y las medidas t\u00e9cnicas de protecci\u00f3n, con el apoyo de controles continuos y automatizados.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\">Conclusi\u00f3n: la proactividad como principio rector<\/h2>\n\n\n\n<p>La seguridad de los ERP no debe reducirse a la simple aplicaci\u00f3n de parches. Es necesario establecer un proceso continuo: inventarios y evaluaciones peri\u00f3dicas, an\u00e1lisis de riesgos, formaci\u00f3n y una estrecha integraci\u00f3n de los departamentos inform\u00e1ticos y especializados. Los modelos en nube, como Rise con SAP, no cambian nada al respecto. Al contrario: exigen que los procesos de seguridad funcionen a la perfecci\u00f3n m\u00e1s all\u00e1 de los l\u00edmites de la empresa, desde el proveedor hasta los equipos de TI internos y los socios externos. Solo aquellos que aborden la seguridad de su ERP de forma proactiva y estrat\u00e9gica, con el apoyo de la automatizaci\u00f3n moderna y una s\u00f3lida inteligencia sobre amenazas, podr\u00e1n seguir siendo capaces de actuar en una situaci\u00f3n de amenaza como la actual.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>","protected":false},"excerpt":{"rendered":"<p>Una reciente vulnerabilidad de d\u00eda cero de SAP demuestra lo r\u00e1pido que pueden ser atacados los sistemas ERP. Las empresas deben salvaguardar estrat\u00e9gicamente la seguridad, el cumplimiento normativo y los modelos en la nube como Rise, desde la aplicaci\u00f3n de parches y la supervisi\u00f3n hasta la asignaci\u00f3n clara de responsabilidades. <\/p>","protected":false},"author":5745,"featured_media":155994,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"","footnotes":""},"categories":[44298,44297],"tags":[],"coauthors":[44307],"class_list":["post-155993","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-extra-2510","category-mag-25-10","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/10\/2510_eschenbaecher_onapsis.jpg",1000,450,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/10\/2510_eschenbaecher_onapsis-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/10\/2510_eschenbaecher_onapsis-400x180.jpg",400,180,true],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/10\/2510_eschenbaecher_onapsis-768x346.jpg",768,346,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/10\/2510_eschenbaecher_onapsis.jpg",1000,450,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/10\/2510_eschenbaecher_onapsis-100x45.jpg",100,45,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/10\/2510_eschenbaecher_onapsis-480x216.jpg",480,216,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/10\/2510_eschenbaecher_onapsis-640x288.jpg",640,288,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/10\/2510_eschenbaecher_onapsis-720x324.jpg",720,324,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/10\/2510_eschenbaecher_onapsis-960x432.jpg",960,432,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/10\/2510_eschenbaecher_onapsis.jpg",1000,450,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/10\/2510_eschenbaecher_onapsis.jpg",1000,450,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/10\/2510_eschenbaecher_onapsis.jpg",1000,450,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/10\/2510_eschenbaecher_onapsis.jpg",1000,450,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/10\/2510_eschenbaecher_onapsis.jpg",1000,450,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/10\/2510_eschenbaecher_onapsis-18x8.jpg",18,8,true],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/10\/2510_eschenbaecher_onapsis.jpg",1000,450,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/10\/2510_eschenbaecher_onapsis.jpg",1000,450,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/10\/2510_eschenbaecher_onapsis.jpg",1000,450,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/10\/2510_eschenbaecher_onapsis-600x270.jpg",600,270,true],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/10\/2510_eschenbaecher_onapsis-600x450.jpg",600,450,true],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/10\/2510_eschenbaecher_onapsis-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/10\/2510_eschenbaecher_onapsis-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/10\/2510_eschenbaecher_onapsis-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/10\/2510_eschenbaecher_onapsis-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2025\/10\/2510_eschenbaecher_onapsis-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":"<p>Eine aktuelle SAP-Zero-Day-Schwachstelle zeigt, wie schnell ERP-Systeme ins Visier geraten. Unternehmen m\u00fcssen Sicherheit, Compliance und Cloud-Modelle wie Rise strategisch absichern \u2013 von Patching \u00fcber Monitoring bis zur klaren Verantwortungsverteilung. <\/p>\n","category_list_v2":"<a href=\"https:\/\/e3mag.com\/es\/categoria\/extra-2510\/\" rel=\"category tag\">Extra 2510<\/a>, <a href=\"https:\/\/e3mag.com\/es\/categoria\/mag-25-10\/\" rel=\"category tag\">MAG 25-10<\/a>","author_info_v2":{"name":"Volker Eschenbaecher, Onapsis","url":"https:\/\/e3mag.com\/es\/author\/volker-eschenbaecher\/"},"comments_num_v2":"0 comentarios","_links":{"self":[{"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/posts\/155993","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/users\/5745"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/comments?post=155993"}],"version-history":[{"count":11,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/posts\/155993\/revisions"}],"predecessor-version":[{"id":156459,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/posts\/155993\/revisions\/156459"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/media\/155994"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/media?parent=155993"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/categories?post=155993"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/tags?post=155993"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/coauthors?post=155993"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}