{"id":4097,"date":"2016-11-25T00:13:14","date_gmt":"2016-11-24T23:13:14","guid":{"rendered":"http:\/\/e3mag.com\/?p=4097"},"modified":"2022-02-06T00:10:35","modified_gmt":"2022-02-05T23:10:35","slug":"hacking-etico-en-sap","status":"publish","type":"post","link":"https:\/\/e3mag.com\/es\/hacking-etico-en-sap\/","title":{"rendered":"Hacking \u00e9tico en SAP"},"content":{"rendered":"<p>La indisponibilidad temporal de sitios web de servicios en l\u00ednea populares como <span id=\"urn:local-text-annotation-ebhe0903j5ojwpi51h50xpegowil8p1h\" class=\"textannotation disambiguated wl-organization\">Twitter<\/span>, <span id=\"urn:local-text-annotation-mj0x2w877wa4w8ukxvxf70rztcids8t8\" class=\"textannotation disambiguated wl-organization\">Spotify<\/span>, <span id=\"urn:local-text-annotation-9wgqj1adm9p64f1ziie5f8fw9hyrfzsp\" class=\"textannotation disambiguated wl-organization\">Reddit<\/span> o <span id=\"urn:local-text-annotation-6af309o7ibkudbf5gnttxbe0xcelnn30\" class=\"textannotation disambiguated wl-organization\">Paypal<\/span> en octubre, el robo de 500 millones de registros de datos de clientes en <span id=\"urn:local-text-annotation-55ahhaxjf22g4wodzb7wxl3ul6bz7wrz\" class=\"textannotation disambiguated wl-organization\">Yahoo<\/span> 2014, los repetidos ciberataques a los sitios web de la Canciller\u00eda Federal y el Bundestag... parece que sobran noticias sobre incidentes que apuntan a la vulnerabilidad de nuestro mundo digitalizado.<\/p>\n<p>Por ello, ahora m\u00e1s que nunca, se pide a las empresas, tanto en su propio beneficio como por parte del legislador, que <span id=\"urn:local-text-annotation-2yn17ztrde2zsvpmhyuzym79at5yvc3c\" class=\"textannotation disambiguated wl-thing\">TI<\/span>-tecnolog\u00eda de comunicaci\u00f3n y control<span id=\"urn:local-text-annotation-67ggkvqrrwv1r8k5zr3tbi5e7wmb6ora\" class=\"textannotation disambiguated wl-thing\">Infraestructuras<\/span> de su organizaci\u00f3n.<\/p>\n<p>Hace dos a\u00f1os, un autodiagn\u00f3stico realizado por la empresa de Ettlingen demostr\u00f3 lo peligrosa que puede llegar a ser esta situaci\u00f3n. <span id=\"urn:local-text-annotation-9cjm12tcjsyrzr9uj4qmq6ikdxxijwjv\" class=\"textannotation disambiguated wl-thing\">Servicios p\u00fablicos<\/span>.<\/p>\n<p>En dos d\u00edas, un contratista consigui\u00f3 <span id=\"urn:local-text-annotation-7k05dwff62d8wy2yhngacel6v5wska91\" class=\"textannotation disambiguated wl-thing\">TI<\/span>-expertos para unirse a la red de <span id=\"urn:local-text-annotation-ff5rrb15isco7a4554mptsaxhpmfj4b5\" class=\"textannotation disambiguated wl-thing\">Servicios p\u00fablicos<\/span> hackear\" y tomar el control del centro de control.<\/p>\n<p>El \"hacking \u00e9tico\", como tambi\u00e9n se conoce el m\u00e9todo de trabajo del experto de Ettlingen, es un medio probado de obtener una visi\u00f3n general de la eficacia de las propias medidas de seguridad t\u00e9cnicas y organizativas.<\/p>\n<p>En los controles de seguridad de BTC, por ejemplo, los expertos t\u00e9cnicos reconocidos como \"Ethical <span id=\"urn:local-text-annotation-xqd5eosa1o9ej74iw1qwqb1lfcykuql9\" class=\"textannotation disambiguated wl-thing\">Hacker<\/span>\" est\u00e1n certificados, el potencial de peligro de <span id=\"urn:local-text-annotation-wd967n6dehs012og4jetbv7gvhgnel3m\" class=\"textannotation disambiguated wl-thing\">TI<\/span>-entornos.<\/p>\n<p>Para ello, el procedimiento y la <span id=\"urn:local-text-annotation-5gal7sssr16ujm79zfatbzqjq6n8fdfc\" class=\"textannotation disambiguated wl-thing\">Tecnolog\u00eda<\/span> m\u00e1s criminal <span id=\"urn:local-text-annotation-8h0yt027e4mukjzovx1qqjxnqbbjp7u1\" class=\"textannotation disambiguated wl-thing\">Hacker<\/span> detectar vulnerabilidades de seguridad en \u00e1reas cr\u00edticas antes de que sean explotadas por ataques malintencionados.<\/p>\n<h2>SAP: La complejidad crea superficies de ataque<\/h2>\n<p>La evaluaci\u00f3n de los resultados de los controles de seguridad realizados por BTC en las empresas muestra que a menudo son peque\u00f1as deficiencias t\u00e9cnicas y organizativas las que provocan los riesgos de seguridad. <span id=\"urn:local-text-annotation-z8nid2yxwgsjt7yawzihjw805gwgrzcs\" class=\"textannotation disambiguated wl-thing\">Hackers<\/span> hacer la vida -o m\u00e1s exactamente, el trabajo- m\u00e1s f\u00e1cil.<\/p>\n<p>Entre las deficiencias m\u00e1s frecuentes figuran, por ejemplo, el hecho de que las funciones y responsabilidades de los procesos y sistemas no est\u00e9n claramente definidas desde el punto de vista de la seguridad y que no se haya institucionalizado una responsabilidad central.<\/p>\n<p>En los entornos SAP, por ejemplo, los sistemas de producci\u00f3n cr\u00edticos para la empresa suelen funcionar en una secci\u00f3n de red compartida con aplicaciones de oficina menos cr\u00edticas.<a href=\"https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Christian-Bruns-BTC-Technology.jpg\"><img loading=\"lazy\" decoding=\"async\" title=\"Hacking \u00e9tico en sap\" class=\"wp-image-4120 size-full alignleft\" src=\"https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Christian-Bruns-BTC-Technology-e1481890624980.jpg\" alt=\"Christian Bruns Tecnolog\u00eda BTC\" width=\"237\" height=\"387\" srcset=\"https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Christian-Bruns-BTC-Technology-e1481890624980.jpg 237w, https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Christian-Bruns-BTC-Technology-e1481890624980-100x163.jpg 100w\" sizes=\"auto, (max-width: 237px) 100vw, 237px\" \/><\/a><\/p>\n<p>Un tema de actualidad es <span id=\"urn:local-text-annotation-99ef69dp2tjkjc8oxx4sbev9yineahxm\" class=\"textannotation disambiguated wl-thing\">Contrase\u00f1as<\/span>. Las pruebas de penetraci\u00f3n demuestran que los sistemas SAP relacionados con tareas de desarrollo o control de calidad siguen siendo demasiado f\u00e1ciles de utilizar. <span id=\"urn:local-text-annotation-y7ktbq6jby4ihj68leznrgoemrs9g3gr\" class=\"textannotation disambiguated wl-thing\">Contrase\u00f1as<\/span> y\/o las cuentas s\u00f3lo pueden utilizarse con datos de acceso preestablecidos (credenciales).<\/p>\n<p>Tambi\u00e9n suponen un riesgo recurrente las autorizaciones y los identificadores de grupo que se han asignado una vez y no se eliminan ni se modifican cuando se cambian los trabajos o las tareas.<\/p>\n<p>Esto puede llevar a la (no tan) divertida consecuencia de que los aprendices o becarios que pasen por diferentes departamentos tengan la mayor <span id=\"urn:local-text-annotation-56ybm0qmmwxre17s4eiltdh8fwi2lojd\" class=\"textannotation disambiguated wl-thing\">Derechos de acceso<\/span> propia.<\/p>\n<p>La creciente complejidad, especialmente en SAP<span id=\"urn:local-text-annotation-eu45r5l5c97uybwdzv30qdk4f8dr2tnz\" class=\"textannotation disambiguated wl-thing\">Infraestructuras<\/span>aumenta la vulnerabilidad debido a configuraciones descuidadas, por ejemplo al no instalar parches o actualizaciones para <span id=\"urn:local-text-annotation-ege36wubiub0t6i9ypaic6l136wq7sur\" class=\"textannotation disambiguated wl-thing\">Sistemas operativos<\/span>, <span id=\"urn:local-text-annotation-5bvpswppsk7coznxiney6mtug5xif8um\" class=\"textannotation disambiguated wl-thing\">Web<\/span>-<span id=\"urn:local-text-annotation-by308r23gphn4ota30pvvd78nxhqry20\" class=\"textannotation disambiguated wl-thing\">Servidor<\/span>bases de datos y\/o SAP<span id=\"urn:local-text-annotation-50thw7kd9v6cxkjsdr3v5u56tmnmiv4h\" class=\"textannotation disambiguated wl-thing\">Software<\/span>.<\/p>\n<p>Qu\u00e9 tenacidad incluso conocida <span id=\"urn:local-text-annotation-j5mutun2uverzlydhh1kps3bx0gzma78\" class=\"textannotation disambiguated wl-thing\">Error<\/span> El Invoker Serlet muestra c\u00f3mo desarrollar una vulnerabilidad de seguridad en este punto. Una vulnerabilidad de seguridad en el componente de Java<span id=\"urn:local-text-annotation-wa6iifkhc2qkwjo0muw9gr1r7yavinev\" class=\"textannotation disambiguated wl-thing\">Servidor<\/span> en SAP NetWeaver en mayo de este a\u00f1o impuls\u00f3 la <span id=\"urn:local-text-annotation-wpy749j4zp97iscm2kdpmdxil072zojh\" class=\"textannotation disambiguated wl-thing\">US-CERT<\/span>-El Equipo de Preparaci\u00f3n para Emergencias Inform\u00e1ticas de Estados Unidos emiti\u00f3 su primera advertencia oficial sobre SAP.<span id=\"urn:local-text-annotation-m45wfnmd296okgxcpv708waiw9gz7slm\" class=\"textannotation disambiguated wl-thing\">Software<\/span> para pronunciar.<\/p>\n<p>Eso s\u00ed, se trata de un problema que se conoce desde hace seis a\u00f1os y que, aunque existe un parche desde hace tiempo, sigue en el <span id=\"urn:local-text-annotation-k2fz2nhvzdrrezguan37ijfilm0fotbf\" class=\"textannotation disambiguated wl-thing\">Infraestructuras<\/span> de al menos 36 organizaciones de todo el mundo.<\/p>\n<p>Configuraciones deficientes, estructuras de red insuficientemente protegidas o una gesti\u00f3n de cuentas demasiado simple facilitan la labor de los piratas inform\u00e1ticos.<\/p>\n<p>En Ettlinger Stadtwerke, por ejemplo, fue un puerto de red abierto en la casa de hu\u00e9spedes lo que el equipo de Ethical <span id=\"urn:local-text-annotation-492iti4ueih78sr038fozxrzbkodjorp\" class=\"textannotation disambiguated wl-thing\">Hacker<\/span> usado.<\/p>\n<p>Combinado con un poco de ingenier\u00eda social y el an\u00e1lisis de los patrones de comunicaci\u00f3n en la red, bast\u00f3 para abrir finalmente la puerta de la sala de control.<\/p>\n<p>Para evitar que esto ocurra en primer lugar, se recomienda a todas las empresas que realicen an\u00e1lisis y pruebas manuales y automatizadas a intervalos regulares con el apoyo de Ethical <span id=\"urn:local-text-annotation-ob08v1u1breasi7xng1uvyb94nfzt265\" class=\"textannotation disambiguated wl-thing\">Hackers<\/span> a realizar.<\/p>\n<p>De este modo, se pueden identificar posibles puntos d\u00e9biles en la estructura y configuraci\u00f3n del entorno SAP en todos los \u00e1mbitos de la arquitectura y tomar precauciones con las medidas t\u00e9cnicas u organizativas adecuadas.<\/p>\n<p><a href=\"https:\/\/e3mag.com\/es\/socios\/btc-business-technology-consulting-ag\/\" target=\"_blank\" rel=\"noopener noreferrer\"><img loading=\"lazy\" decoding=\"async\" title=\"Hacking \u00e9tico en sap\" class=\"aligncenter wp-image-11358 size-full\" src=\"https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/CI-BTC.jpg\" alt=\"https:\/\/e3mag.com\/partners\/btc-business-technology-consulting-ag\/\" width=\"1000\" height=\"112\" srcset=\"https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/CI-BTC.jpg 1000w, https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/CI-BTC-768x86.jpg 768w, https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/CI-BTC-100x11.jpg 100w, https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/CI-BTC-480x54.jpg 480w, https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/CI-BTC-640x72.jpg 640w, https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/CI-BTC-720x81.jpg 720w, https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/CI-BTC-960x108.jpg 960w\" sizes=\"auto, (max-width: 1000px) 100vw, 1000px\" \/><\/a><\/p>","protected":false},"excerpt":{"rendered":"<p>La digitalizaci\u00f3n hace que las infraestructuras cr\u00edticas sean vulnerables. Una forma de comprobar el nivel de seguridad es mediante an\u00e1lisis de seguridad realizados por los llamados \"hackers \u00e9ticos\". Con la ayuda de profesionales, las brechas de seguridad se identifican a tiempo, antes de que los hackers \"de verdad\" causen da\u00f1os reales. <\/p>","protected":false},"author":78,"featured_media":4119,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"","footnotes":""},"categories":[4,740],"tags":[637,111,117,400],"coauthors":[23729],"class_list":["post-4097","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-management","category-mag1612","tag-hacker","tag-infrastruktur","tag-sicherheit","tag-software","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker.jpg",1000,667,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker.jpg",400,267,false],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker-768x512.jpg",768,512,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker.jpg",1000,667,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker-100x67.jpg",100,67,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker-480x320.jpg",480,320,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker-640x427.jpg",640,427,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker-720x480.jpg",720,480,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker-960x640.jpg",960,640,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker.jpg",1000,667,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker.jpg",1000,667,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker.jpg",1000,667,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker.jpg",1000,667,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker.jpg",1000,667,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker.jpg",18,12,false],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker.jpg",1000,667,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker.jpg",1000,667,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker.jpg",1000,667,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker.jpg",600,400,false],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker.jpg",600,400,false],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/12\/Hacker-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":"<p>Die Digitalisierung macht kritische Infrastrukturen verwundbar. Ein Mittel, das Sicherheitsniveau zu pr\u00fcfen, sind Sicherheitsanalysen durch sogenannte \u201eEthical Hacker\u201c. Mit professioneller Hilfe werden Sicherheitsl\u00fccken rechtzeitig identifiziert, bevor \u201ereale\u201c Hacker echten Schaden anrichten. <\/p>\n","category_list_v2":"<a href=\"https:\/\/e3mag.com\/es\/categoria\/gestion\/\" rel=\"category tag\">Business-Management<\/a>, <a href=\"https:\/\/e3mag.com\/es\/categoria\/le-gusta1612\/\" rel=\"category tag\">MAG 16-12<\/a>","author_info_v2":{"name":"Christian Bruns, BTC","url":"https:\/\/e3mag.com\/es\/author\/christian-bruns\/"},"comments_num_v2":"0 comentarios","_links":{"self":[{"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/posts\/4097","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/users\/78"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/comments?post=4097"}],"version-history":[{"count":0,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/posts\/4097\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/media\/4119"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/media?parent=4097"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/categories?post=4097"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/tags?post=4097"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/coauthors?post=4097"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}