Un investigador argentino descubrió una falla crítica que pudo haber afectado a miles de empresas a nivel mundial
Imaginar por un momento que una persona, un atacante -en rigor- sin credenciales pudiera ingresar de forma remota a información sensible alojada en los sistemas de una empresa. A saber: los datos de los empleados, sus números de cuentas bancarias, modificar esos registros, nombrar administradores que pudieran dar privilegios y permisos de acceso a otros tantos. O incluso interrumpir el funcionamiento del sistema. Esa fue exactamente la vulnerabilidad que pudo haber afectado a miles de clientes SAP en todo el mundo. Y fue la que descubrió Pablo Artuso, investigador que trabaja en la sede argentina de la empresa de seguridad informática Onapsis. Tiene 28 años.
Artuso se dedica sobre todo a hacer seguridad ofensiva; es un auténtico hacker: realiza estas pruebas como una forma de auditar sistemas y encontrar fallas en productos, que luego son reportados directamente a las empresas para prevenir la explotación indebida de estos descuidos. En Onapsis miran de cerca todo lo que se hace en SAP y Oracle, plataformas que utilizan empresas de todo el mundo para llevar registros financieros o de recursos humanos, entre otros. "Con esta falla podrían haber tomado el control de los sistemas", explica el investigador. Tan crítico fue el hallazgo en términos de seguridad, que según un estándar de medición crítica alcanzó el máximo posible: 10.
El hallazgo
Se trata de una vulnerabilidad (conocida como RECON) con elevado nivel de riesgo porque gran parte de las soluciones afectadas están expuestas a Internet para conectar a las empresas con sus usuarios y proveedores, más aún en tiempos de Covid-19. La falla se encontraba en una herramienta llamada SAP NetWeaver JAVA que es usada por varios productos de SAP. El principal riesgo estaba presente en Enterprise Portal, que está expuesto al exterior gracias a que es un servicio online. "Hubiera sido una puerta de entrada importante", explica Artuso.
Una vez descubierta la vulnerabilidad, Onapsis la comunicó directamente a SAP que, a partir del informe, impuso un parche, una solución, para que sus clientes no quedaran expuestos, desde el mes pasado. "SAP pudo liberar una actualización oficial para arreglar este problema", explicó Mariano Núñez, CEO de Onapsis. Pero la preocupación llegó hasta el Departamento de Seguridad Nacional de los Estados Unidos (DHS), que emitió un reporte junto con organizaciones globales para alertar sobre posibles amenazas asociadas.
Otras noticias de Seguridad informática
Más leídas de Tecnología
Imágenes. Cómo se vería el histórico Renault Fuego modelo 2025, según la IA
Una por una. Qué tipo de proteínas ayudan a aumentar la masa muscular, según la inteligencia artificial
Natividad. Cómo activar el “modo pesebre” en WhatsApp
Futuro cercano. Estas son las 5 tendencias tecnológicas para 2025, según Globant