El software SAP concentra la mayor cantidad de vulnerabilidades, según WabiSabi Labi
Los sistemas empresariales de SAP no fueron nunca desarrollados con la seguridad como máxima, según los investigadores. No obstante, tales sistemas gestionan información critica en la mayoría de las compañías y, por tanto, hoy, en la era de las empresas abiertas a Internet, se convierten en una importante brecha de seguridad.
Casi cada día se descubren nuevos agujeros de seguridad, y a medida que las vulnerabilidades son desveladas, las aplicaciones corporativas críticas no correctamente securizadas pueden servir con mayor probabilidad de instrumento para prácticas de espionaje industrial a gran escala. La atención suele centrarse generalmente en los fallos descubiertos en los productos de Microsoft, pero otras grandes compañías de software padecen vulnerabilidades de seguridad. SAP también; de hecho, según WabiSabi Labi, es uno de los fabricantes que más las sufren.
WabiSabi Labi es una startup suiza que ha puesto en marcha el primer sitio Web de compra/venta de información sobre vulnerabilidades. En él los investigadores pueden subastar sus descubrimientos para conseguir la mejor oferta por su trabajo. Preguntado por el nombre de la compañía en cuyos productos se habían detectado un mayor número de brechas, Roberto Preatoni, estratega de la organización, responde sin dudarlo: “SAP. Hemos encontrado diez vulnerabilidades que afectan a sus plataformas”. Algunas de ellas, han sido recopiladas por WabiSabi Labi a través de investigadores de seguridad. “Una vez notificadas, hemos probado si funcionaban y hemos encontrado algunas más”.
Dada esta situación, Preatoni urge al gigante alemán del software a introducir un gran cambio en la seguridad de su software, dado el elevado número de agujeros que parecen necesitar ser cubiertos.
Puertas traseras para el espionaje industrial
A menudo las vulnerabilidades constituyen puertas traseras que permiten la entrada de los hackers en los sistemas corporativos. Y las vulnerabilidades de las plataformas SAP podrían tener consecuencias desastrosas dado que, según Roberto Preatoni, son utilizadas por el 50% de las compañías Fortune 500. La información almacenada en los sistemas de SAP tiene, en consecuencia, un valor incalculable.
Todas las empresas de seguridad están actualmente valorando el espionaje industrial como una tendencia importante y el hecho de que la mayoría de los sistemas empresariales sean cada vez más accesibles sobre la Web pone la información deseada al alcance de los hackers.
Thomas Olofsson, experto en seguridad y director de tecnología de la firma Tadcom, subraya que “la raíz del problema se encuentra en que los sistemas empresariales de SAP no fueron nunca desarrollados para la seguridad. Si, por ejemplo, un hacker descubre una vulnerabilidad en el módulo de nóminas, tendrá acceso completo a la base de datos y a la corporación en su totalidad”.
SAP no ha querido comentar las presuntas vulnerabilidades, pero ha dicho que las críticas son infundadas. “No entiendo este criticismo. Somos el único proveedor de sistemas empresariales que ha certificado su plataforma para seguridad y hemos trabajado duro en la seguridad interna”, ha declarado Tomas Andersson, director de producto de la división sueca del fabricante
