Tecnología

Un investigador argentino descubrió una falla crítica que pudo haber afectado a miles de empresas a nivel mundial

Crédito: Shutterstock

Sebastián Davidovsky

Imaginar por un momento que una persona, un atacante -en rigor- sin credenciales pudiera ingresar de forma remota a información sensible alojada en los sistemas de una empresa. A saber: los datos de los empleados, sus números de cuentas bancarias, modificar esos registros, nombrar administradores que pudieran dar privilegios y permisos de acceso a otros tantos. O incluso interrumpir el funcionamiento del sistema. Esa fue exactamente la vulnerabilidad que pudo haber afectado a miles de clientes SAP en todo el mundo. Y fue la que descubrió Pablo Artuso, investigador que trabaja en la sede argentina de la empresa de seguridad informática Onapsis. Tiene 28 años.

Artuso se dedica sobre todo a hacer seguridad ofensiva; es un auténtico hacker: realiza estas pruebas como una forma de auditar sistemas y encontrar fallas en productos, que luego son reportados directamente a las empresas para prevenir la explotación indebida de estos descuidos. En Onapsis miran de cerca todo lo que se hace en SAP y Oracle, plataformas que utilizan empresas de todo el mundo para llevar registros financieros o de recursos humanos, entre otros. "Con esta falla podrían haber tomado el control de los sistemas", explica el investigador. Tan crítico fue el hallazgo en términos de seguridad, que según un estándar de medición crítica alcanzó el máximo posible: 10.

El hallazgo

Se trata de una vulnerabilidad (conocida como RECON) con elevado nivel de riesgo porque gran parte de las soluciones afectadas están expuestas a Internet para conectar a las empresas con sus usuarios y proveedores, más aún en tiempos de Covid-19. La falla se encontraba en una herramienta llamada SAP NetWeaver JAVA que es usada por varios productos de SAP. El principal riesgo estaba presente en Enterprise Portal, que está expuesto al exterior gracias a que es un servicio online. "Hubiera sido una puerta de entrada importante", explica Artuso.

Una vez descubierta la vulnerabilidad, Onapsis la comunicó directamente a SAP que, a partir del informe, impuso un parche, una solución, para que sus clientes no quedaran expuestos, desde el mes pasado. "SAP pudo liberar una actualización oficial para arreglar este problema", explicó Mariano Núñez, CEO de Onapsis. Pero la preocupación llegó hasta el Departamento de Seguridad Nacional de los Estados Unidos (DHS), que emitió un reporte junto con organizaciones globales para alertar sobre posibles amenazas asociadas.

Por: Sebastián Davidovsky ADEMÁS 3339247h113

Con drones: Singapur controla desde el aire las medidas de distanciamiento social

3339194h113

Sony renueva sus auriculares inalámbricos con cancelación de ruido WH-1000 XM4

3339173h113

EA Sports: FIFA 21 no tendrá algunos festejos de gol para reducir el comportamiento tóxico de los jugadores

3339153h113

Spotify habilita donaciones para músicos argentinos o para entidades afectadas por el coronavirus

Fuente de la noticia (La Nacion)

Comentarios de Facebook

Publicaciones relacionadas

Botón volver arriba