Hasta 50.000 compañías que ejecutan software de la empresa informática SAP están en riesgo de ser "hackeadas" después de que investigadores de seguridad encontraran nuevas formas de explotar las vulnerabilidades de los sistemas que no se han protegido adecuadamente y es por ello que publicaran las herramientas para hacerlo en línea.

El gigante alemán de software emitió una guía sobre cómo configurar en forma correcta las funciones de seguridad en 2009 y 2013, pero los datos compilados por la firma de seguridad Onapsis muestran que el 90% de los sistemas SAP afectados no han sido protegidos adecuadamente.

"Básicamente, una compañía puede detenerse en cuestión de segundos", dijo ante la agencia Reuters el director ejecutivo de Onapsis, Mariano Núñez, cuya compañía se especializa en asegurar aplicaciones de negocios como las de SAP y su rival Oracle.

"Con estos ataques, un hacker podría robar cualquier cosa que se encuentre en los sistemas SAP de una empresa y también modificar cualquier información allí, de modo que pueda realizar fraudes financieros, retirar dinero o simplemente sabotear e interrumpir los sistemas", advirtió.

La empresa dijo: "SAP siempre recomienda encarecidamente instalar soluciones de seguridad a medida que se publican". El software de SAP es utilizado por más del 90% de las 2000 compañías más importantes del mundo para administrar todo desde las nóminas de los empleados hasta la distribución de productos y los procesos industriales.

Expertos en seguridad dicen que los ataques a esos sistemas podrían ser sumamente dañinos, tanto para las organizaciones víctimas como para su cadena de suministro más amplia. La compañía dice en su sitio web que los clientes de SAP distribuyen colectivamente el 78% de los alimentos del mundo y el 82% de los dispositivos médicos globales.

El consultor de seguridad de Sogeti, Mathieu Geli, uno de los investigadores que desarrolló las vulnerabilidades publicadas en línea el mes pasado, dijo que el problema tenía que ver con la forma en que las aplicaciones de SAP se comunican entre sí dentro de una empresa.

Si los ajustes de seguridad de una empresa no están configurados correctamente dijo un hacker, por lo que se puede engañar a una aplicación para que piense que es otro producto de SAP y obtener acceso completo sin necesidad de credenciales de inicio de sesión.

SAP dijo que la seguridad del cliente era una prioridad y que las vulnerabilidades mostraban la necesidad de que los clientes implementaran las soluciones recomendadas cuando se lanzan. "La seguridad es un proceso colaborativo, por lo que nuestros clientes y socios también deben proteger sus sistemas", dijo en un comunicado.

Los investigadores de Onapsis dijeron el jueves que nombrarían las vulnerabilidades "10KBLAZE" debido a la amenaza que representaban para las "aplicaciones críticas para el negocio" que de ser hackeados, podrían resultar en "errores sustanciales" en las declaraciones financieras de Estados Unidos.

Núñez dijo que compartiría la capacidad de su compañía para detectar las vulnerabilidades con otros proveedores de seguridad para ayudar a proteger a todos los usuarios de SAP contra posibles ataques futuros.

Geli dijo que creó las vulnerabilidades para probar el peligro de las mismas y por ello las lanzó en línea para ayudar a los expertos a probar la seguridad de los sistemas SAP.

Mencionó que existía el riesgo de que pudieran ser utilizados por actores maliciosos pero no por personas sin capacidad técnica, y era más importante para las empresas actualizar sus configuraciones de seguridad.

"Sólo estamos señalando algo que ya arregló SAP, pero tal vez los clientes no hayan seguido el ritmo", dijo. "Estamos tratando de impulsar eso y decir: 'Chicos, esto es crítico, necesitan arreglarlo'", concluyó.