Un investigador argentino descubrió una falla crítica que pudo haber afectado a miles de empresas a nivel mundial

Imaginar por un momento que una persona, un atacante -en rigor- sin credenciales pudiera ingresar de forma remota a información sensible alojada en los sistemas de una empresa. A saber: los datos de los empleados, sus números de cuentas bancarias, modificar esos registros, nombrar administradores que pudieran dar privilegios y permisos de acceso a otros tantos. O incluso interrumpir el funcionamiento del sistema. Esa fue exactamente la vulnerabilidad que pudo haber afectado a miles de clientes SAP en todo el mundo. Y fue la que descubrió Pablo Artuso, investigador que trabaja en la sede argentina de la empresa de seguridad informática Onapsis. Tiene 28 años.

Artuso se dedica sobre todo a hacer seguridad ofensiva; es un auténtico hacker: realiza estas pruebas como una forma de auditar sistemas y encontrar fallas en productos, que luego son reportados directamente a las empresas para prevenir la explotación indebida de estos descuidos. En Onapsis miran de cerca todo lo que se hace en SAP y Oracle, plataformas que utilizan empresas de todo el mundo para llevar registros financieros o de recursos humanos, entre otros. "Con esta falla podrían haber tomado el control de los sistemas", explica el investigador. Tan crítico fue el hallazgo en términos de seguridad, que según un estándar de medición crítica alcanzó el máximo posible: 10.

El hallazgo

Se trata de una vulnerabilidad (conocida como RECON) con elevado nivel de riesgo porque gran parte de las soluciones afectadas están expuestas a Internet para conectar a las empresas con sus usuarios y proveedores, más aún en tiempos de Covid-19. La falla se encontraba en una herramienta llamada SAP NetWeaver JAVA que es usada por varios productos de SAP. El principal riesgo estaba presente en Enterprise Portal, que está expuesto al exterior gracias a que es un servicio online. "Hubiera sido una puerta de entrada importante", explica Artuso.

Una vez descubierta la vulnerabilidad, Onapsis la comunicó directamente a SAP que, a partir del informe, impuso un parche, una solución, para que sus clientes no quedaran expuestos, desde el mes pasado. "SAP pudo liberar una actualización oficial para arreglar este problema", explicó Mariano Núñez, CEO de Onapsis. Pero la preocupación llegó hasta el Departamento de Seguridad Nacional de los Estados Unidos (DHS), que emitió un reporte junto con organizaciones globales para alertar sobre posibles amenazas asociadas.

Conforme a los criterios de

Conocé más

Con un código QR. Nueva estafa en WhatsApp: acceden a tu cuenta y no te la roban, sino que la usan en simultáneo

Criptomonedas. La herramienta que recomiendan los expertos para evitar ser víctima de hackeos

Máxima seguridad. Así funciona la nueva herramienta "anti-robo" de Android: bloqueos y más medidas preventivas