Un investigador argentino descubrió una falla crítica que pudo haber afectado a miles de empresas a nivel mundial

Crédito: Shutterstock
Sebastián Davidovsky
(0)
6 de agosto de 2020  • 16:13

Imaginar por un momento que una persona, un atacante -en rigor- sin credenciales pudiera ingresar de forma remota a información sensible alojada en los sistemas de una empresa. A saber: los datos de los empleados, sus números de cuentas bancarias, modificar esos registros, nombrar administradores que pudieran dar privilegios y permisos de acceso a otros tantos. O incluso interrumpir el funcionamiento del sistema. Esa fue exactamente la vulnerabilidad que pudo haber afectado a miles de clientes SAP en todo el mundo. Y fue la que descubrió Pablo Artuso, investigador que trabaja en la sede argentina de la empresa de seguridad informática Onapsis. Tiene 28 años.

Artuso se dedica sobre todo a hacer seguridad ofensiva; es un auténtico hacker: realiza estas pruebas como una forma de auditar sistemas y encontrar fallas en productos, que luego son reportados directamente a las empresas para prevenir la explotación indebida de estos descuidos. En Onapsis miran de cerca todo lo que se hace en SAP y Oracle, plataformas que utilizan empresas de todo el mundo para llevar registros financieros o de recursos humanos, entre otros. "Con esta falla podrían haber tomado el control de los sistemas", explica el investigador. Tan crítico fue el hallazgo en términos de seguridad, que según un estándar de medición crítica alcanzó el máximo posible: 10.

El hallazgo

Se trata de una vulnerabilidad (conocida como RECON) con elevado nivel de riesgo porque gran parte de las soluciones afectadas están expuestas a Internet para conectar a las empresas con sus usuarios y proveedores, más aún en tiempos de Covid-19. La falla se encontraba en una herramienta llamada SAP NetWeaver JAVA que es usada por varios productos de SAP. El principal riesgo estaba presente en Enterprise Portal, que está expuesto al exterior gracias a que es un servicio online. "Hubiera sido una puerta de entrada importante", explica Artuso.

Una vez descubierta la vulnerabilidad, Onapsis la comunicó directamente a SAP que, a partir del informe, impuso un parche, una solución, para que sus clientes no quedaran expuestos, desde el mes pasado. "SAP pudo liberar una actualización oficial para arreglar este problema", explicó Mariano Núñez, CEO de Onapsis. Pero la preocupación llegó hasta el Departamento de Seguridad Nacional de los Estados Unidos (DHS), que emitió un reporte junto con organizaciones globales para alertar sobre posibles amenazas asociadas.

Conforme a los criterios de

Más información
ADEMÁS

MÁS leídas ahora

ENVÍA TU COMENTARIO

Ver legales

Los comentarios publicados son de exclusiva responsabilidad de sus autores y las consecuencias derivadas de ellos pueden ser pasibles de sanciones legales. Aquel usuario que incluya en sus mensajes algún comentario violatorio del reglamento será eliminado e inhabilitado para volver a comentar. Enviar un comentario implica la aceptación del Reglamento.

Para poder comentar tenés que ingresar con tu usuario de LA NACION.

Descargá la aplicación de LA NACION. Es rápida y liviana.