{"id":162339,"date":"2026-04-21T15:00:00","date_gmt":"2026-04-21T13:00:00","guid":{"rendered":"https:\/\/e3mag.com\/?p=162339"},"modified":"2026-03-30T16:16:46","modified_gmt":"2026-03-30T14:16:46","slug":"pruebas-de-penetracion-de-sap-puntos-ciegos-en-su-nucleo","status":"publish","type":"post","link":"https:\/\/e3mag.com\/es\/pruebas-de-penetracion-de-sap-puntos-ciegos-en-su-nucleo\/","title":{"rendered":"Pruebas de penetraci\u00f3n SAP: puntos ciegos en el n\u00facleo de TI"},"content":{"rendered":"

El panorama actual de las amenazas no deja lugar a dudas: los ciberataques son un peligro omnipresente para empresas de todos los tama\u00f1os. Seg\u00fan el informe de situaci\u00f3n de BSI sobre la seguridad inform\u00e1tica en Alemania 2025, la situaci\u00f3n es tensa y ofrece a los atacantes la oportunidad de atacar sobre todo a las peque\u00f1as y medianas empresas debido a que las superficies de ataque siguen estando demasiado poco protegidas. Esta tendencia tambi\u00e9n se refleja en el entorno SAP: un an\u00e1lisis de los avisos de seguridad mensuales publicados en 2025 muestra un aumento significativo de las vulnerabilidades, lo que subraya la creciente superficie de ataque de las aplicaciones SAP. En respuesta a esta tensa situaci\u00f3n cibern\u00e9tica, la mayor\u00eda de las organizaciones han reforzado sus defensas: la autenticaci\u00f3n multifactor, los sistemas de detecci\u00f3n de puntos finales y la gesti\u00f3n de la seguridad de la informaci\u00f3n son ejemplos de medidas de seguridad modernas que ya forman parte del repertorio est\u00e1ndar. Sin embargo, en medio de estos esfuerzos, hay un peligroso punto ciego: el panorama del sistema SAP. Mientras que la red y la infraestructura inform\u00e1tica cl\u00e1sica se comprueban meticulosamente, el sistema que gestiona los datos financieros y de personal, los planes de producci\u00f3n y la informaci\u00f3n de los clientes sigue siendo a menudo una caja negra. <\/p>\n\n\n\n

Seguridad SAP descuidada<\/h2>\n\n\n\n

Las razones son principalmente de car\u00e1cter organizativo. La seguridad de SAP cae a menudo en un vac\u00edo de responsabilidades: El equipo de seguridad inform\u00e1tica carece de conocimientos especializados sobre la arquitectura propietaria, mientras que el equipo SAP se centra en la estabilidad m\u00e1s que en la simulaci\u00f3n de ataques. Adem\u00e1s, existe un sentido enga\u00f1oso de la seguridad que considera los sistemas SAP como monolitos internos y sellados. Esta suposici\u00f3n ignora la realidad de los paisajes modernos conectados en red a trav\u00e9s de servicios web y conexiones en la nube. Un pentest de red cl\u00e1sico no es suficiente: Los esc\u00e1neres est\u00e1ndar s\u00f3lo comprueban la m\u00e1quina host, pero no entienden la compleja capa de aplicaci\u00f3n SAP con sus protocolos propietarios como Remote Function Call (RFC) o Dynamic Information and Action Gateway (DIAG). Si tambi\u00e9n se excluyen del alcance de la prueba los sistemas t\u00e9cnicos, de pruebas o de desarrollo conectados, como Solution Manager, Focused Run, Governance, Risk and Compliance, etc., queda sin tener en cuenta un vector de ataque decisivo.<\/p>\n\n\n\n

Vectores de ataque t\u00edpicos<\/h2>\n\n\n\n

Los ataques a sistemas SAP pueden clasificarse en cifrado de servidores con el objetivo de extorsionar para obtener un rescate, por un lado, y ataques internos, por otro. Ambos m\u00e9todos son especialmente peligrosos por su rapidez: un informe de Onapsis y SAP muestra que los ataques a aplicaciones SAP cr\u00edticas van en aumento y suelen producirse en las 72 horas siguientes a la publicaci\u00f3n de un parche de seguridad. Los atacantes aprovechan repetidamente las vulnerabilidades t\u00edpicas. Los sistemas SAP sin parches son un vector de ataque especialmente com\u00fan. Aunque SAP publica informaci\u00f3n relevante para la seguridad el segundo martes de cada mes como parte de su D\u00eda del Parche, muchas empresas no aplican las actualizaciones con prontitud. Esto deja los sistemas abiertos a exploits conocidos durante semanas o meses. Las interfaces RFC insuficientemente protegidas tambi\u00e9n son cr\u00edticas. Si primero se compromete un sistema de desarrollo o de pruebas menos protegido, los atacantes pueden acceder lateralmente a los sistemas productivos a trav\u00e9s de estas conexiones y ejecutar funciones all\u00ed. <\/p>\n\n\n\n

A esto se a\u00f1aden conceptos de autorizaci\u00f3n inadecuados: Siguen existiendo usuarios est\u00e1ndar como SAP* o DDIC con contrase\u00f1as d\u00e9biles o inalteradas y usuarios de di\u00e1logo o del sistema con privilegios excesivos. Estas cuentas se utilizan de forma selectiva para ampliar gradualmente los derechos hasta el control total del sistema. El c\u00f3digo personalizado inseguro tambi\u00e9n es una puerta de entrada, por ejemplo debido a la falta de comprobaciones de autorizaci\u00f3n o a la vulnerabilidad a las inyecciones de c\u00f3digo. Las contrase\u00f1as tambi\u00e9n siguen siendo un problema persistente, ya que los largos periodos de validez, los procedimientos hash d\u00e9biles y la reutilizaci\u00f3n facilitan el control de las cuentas de usuario.<\/p>\n\n\n\n

Una prueba de penetraci\u00f3n convencional no basta para abordar los riesgos de forma proactiva. El mapa de operaciones seguras de SAP proporciona un modelo claro para comprender los distintos niveles de seguridad. <\/p>\n\n\n\n

\"\"
Las vulnerabilidades espec\u00edficas de SAP superaron la barrera de las 200 por primera vez en 2025.<\/figcaption><\/figure>\n\n\n\n

Pruebas de penetraci\u00f3n SAP<\/h2>\n\n\n\n

Los pentests tradicionales suelen cubrir \u00fanicamente el nivel m\u00e1s bajo de la infraestructura inform\u00e1tica. Sin embargo, las vulnerabilidades y los puntos de ataque cruciales suelen encontrarse en los niveles superiores espec\u00edficos de sistemas y aplicaciones, que a menudo representan una caja negra para los intrusos. Por lo tanto, una prueba de penetraci\u00f3n de SAP comienza donde terminan las pruebas tradicionales y analiza los servicios y protocolos espec\u00edficos de SAP, como el gateway, el servidor de mensajes o el marco de comunicaci\u00f3n de Internet, as\u00ed como la seguridad de la comunicaci\u00f3n DIAG y RFC. Adem\u00e1s, se comprueba la seguridad de las aplicaciones examinando las transacciones est\u00e1ndar, las aplicaciones Fiori y los servicios web para detectar posibilidades de manipulaci\u00f3n y accesos no autorizados. Otro punto central es el concepto de autorizaci\u00f3n, que se analiza sistem\u00e1ticamente en busca de autorizaciones cr\u00edticas y posibles v\u00edas para ampliar los derechos. Tambi\u00e9n se examina el c\u00f3digo Abap personalizado, tanto manualmente como mediante herramientas especializadas, para detectar vulnerabilidades como la inyecci\u00f3n de c\u00f3digo o la falta de comprobaciones de autoridad. Adem\u00e1s, se comprueba que la configuraci\u00f3n del sistema, en particular los par\u00e1metros de perfil relevantes para la seguridad, cumple las mejores pr\u00e1cticas de SAP y las recomendaciones del DSAG. Otra ventaja reside en el profundo conocimiento del mundo SAP que tienen los probadores. Saben d\u00f3nde est\u00e1n las configuraciones ocultas, c\u00f3mo pueden manipularse los procesos empresariales y qu\u00e9 ajustes por defecto suponen un riesgo. Este enfoque t\u00e9cnico permite descubrir vulnerabilidades que permanecen invisibles para los esc\u00e1neres y expertos en seguridad en general. Los requisitos normativos, como las especificaciones Nis2 o Kritis, exigen un enfoque verificable y hol\u00edstico de la seguridad, que las pruebas de penetraci\u00f3n aisladas por s\u00ed solas no cumplen.<\/p>\n\n\n\n

\"\"
Los sistemas SAP est\u00e1n rodeados de muros de seguridad t\u00e9cnica y directrices europeas sobre seguridad inform\u00e1tica y protecci\u00f3n de la informaci\u00f3n, pero \u00bfpueden resistir ataques internos?\u00a0<\/figcaption><\/figure>\n\n\n\n

Una estrategia hol\u00edstica de seguridad de SAP va m\u00e1s all\u00e1 e incluye el desarrollo de software seguro como parte de un ciclo de vida de desarrollo de software seguro. La seguridad de la cadena de suministro tambi\u00e9n es cada vez m\u00e1s importante, especialmente en sectores cr\u00edticos en los que la dependencia de socios externos entra\u00f1a riesgos considerables. Este enfoque se complementa con la supervisi\u00f3n continua, que utiliza un sistema SIEM central para registrar y analizar los eventos relevantes para la seguridad en todos los sistemas. Por \u00faltimo, el creciente uso de soluciones en la nube requiere una consideraci\u00f3n especial, ya que sus requisitos de seguridad y escenarios de amenazas difieren en muchos aspectos de los sistemas tradicionales in situ.<\/p>\n\n\n\n

\n

Asegure el sistema SAP en cuatro pasos
<\/h2>\n\n\n\n

<\/p>\n\n\n\n

Empezar a proteger de forma proactiva el entorno SAP es posible con un enfoque estrat\u00e9gico en cuatro pasos claros.<\/p>\n\n\n\n

Establecer alcance:<\/strong> Identificaci\u00f3n de los sistemas m\u00e1s cr\u00edticos, normalmente los sistemas ERP productivos o S\/4 Hana, as\u00ed como los alimentadores t\u00e9cnicos, como un gestor de soluciones productivas.<\/p>\n\n\n\n

Elegir al socio adecuado<\/strong>Los pentests SAP requieren conocimientos especializados. Por lo tanto, se requiere una experiencia en SAP que va m\u00e1s all\u00e1 del pentesting de red general. <\/p>\n\n\n\n

Evaluaci\u00f3n de los resultados en funci\u00f3n del riesgo:<\/strong> Un informe significativo debe presentar y jerarquizar detalladamente las conclusiones t\u00e9cnicas. Esto permite centrarse en los puntos d\u00e9biles que suponen un mayor riesgo para las operaciones. <\/p>\n\n\n\n

Aplicar las medidas de forma sostenible:<\/strong> Un pentest es una instant\u00e1nea que proporciona r\u00e1pidamente m\u00e1s seguridad con menos esfuerzo. Sin embargo, la seguridad sostenible solo puede lograrse integrando los resultados en los procesos inform\u00e1ticos habituales, como la gesti\u00f3n de parches y las directrices de desarrollo.<\/p>\n<\/div>\n\n\n\n

<\/p>\n\n\n\n

Contin\u00fae con la entrada del socio:<\/p>\n\n\n\n

\"Abat\"<\/a><\/figure>","protected":false},"excerpt":{"rendered":"

Las empresas invierten mucho en ciberseguridad, pero sus datos m\u00e1s valiosos suelen quedar desprotegidos. Los sistemas SAP, el coraz\u00f3n de los procesos empresariales cr\u00edticos, suelen pasarse por alto en las pruebas de penetraci\u00f3n, una omisi\u00f3n fatal que abre la puerta a los atacantes.<\/p>","protected":false},"author":5817,"featured_media":162340,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"","footnotes":""},"categories":[5,44396],"tags":[73,44414,236,1516],"coauthors":[44413],"class_list":["post-162339","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-management","category-mag-26-04","tag-erp","tag-penetrationstests","tag-sap","tag-security","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1.jpg",1000,450,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1-400x180.jpg",400,180,true],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1-768x346.jpg",768,346,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1.jpg",1000,450,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1-100x45.jpg",100,45,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1-480x216.jpg",480,216,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1-640x288.jpg",640,288,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1-720x324.jpg",720,324,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1-960x432.jpg",960,432,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1.jpg",1000,450,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1.jpg",1000,450,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1.jpg",1000,450,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1.jpg",1000,450,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1.jpg",1000,450,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1-18x8.jpg",18,8,true],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1.jpg",1000,450,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1.jpg",1000,450,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1.jpg",1000,450,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1-600x270.jpg",600,270,true],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1-600x450.jpg",600,450,true],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2026\/03\/2604_it_abat-1-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":"

Unternehmen investieren massiv in Cybersicherheit, doch ihre wertvollsten Daten bleiben oft ungesch\u00fctzt. SAP-Systeme, das Herzst\u00fcck kritischer Gesch\u00e4ftsprozesse, werden bei Penetrationstests h\u00e4ufig \u00fcbersehen \u2013 ein fatales Vers\u00e4umnis, das Angreifern T\u00fcr und Tor \u00f6ffnet.<\/p>\n","category_list_v2":"IT-Management<\/a>, MAG 26-04<\/a>","author_info_v2":{"name":"Tobias Stage, Abat","url":"https:\/\/e3mag.com\/es\/author\/tobias-stage\/"},"comments_num_v2":"0 comentarios","_links":{"self":[{"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/posts\/162339","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/users\/5817"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/comments?post=162339"}],"version-history":[{"count":3,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/posts\/162339\/revisions"}],"predecessor-version":[{"id":162354,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/posts\/162339\/revisions\/162354"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/media\/162340"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/media?parent=162339"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/categories?post=162339"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/tags?post=162339"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/coauthors?post=162339"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}