Los autores Gaurav Singh y Juan Pérez-Detchegoyen recientemente participaron en la serie SAP Press Book Club Sebinar, donde respondieron preguntas al lector sobre ciberseguridad para SAP en el transcurso de una hora. Se presentaron tantas preguntas que no pudimos llegar a todas.

Los autores pudieron responder al resto de las preguntas en esta publicación de blog. ¡Sigue leyendo para obtener más información!

P: ¿Para quién está escrito el libro?

A: nuestro libro Ciberseguridad para SAP está escrito para una amplia gama de profesionales. Su objetivo es proporcionar información adecuada para personas que provienen del mundo de las aplicaciones SAP o del mundo de la seguridad de TI.

Específicamente, los lectores previstos incluyen:

• Profesionales de SAP que desean hacer la transición al campo de la ciberseguridad
• Administradores de base
• Seguridad de SAP consultores con el objetivo de fortalecer sus habilidades y comprensión de los problemas de ciberseguridad de SAP
• Desarrolladores de SAP que trabajan con aplicaciones SAP pero carecen de antecedentes de seguridad
• Profesionales de seguridad de TI que tienen habilidades de ciberseguridad pero desean comprender las aplicaciones de SAP como evaluadores de penetración o analistas de SOC

El libro reconoce que asegurar aplicaciones SAP requiere una combinación de múltiples habilidades formadas al combinar la seguridad de TI y la tecnología SAP. Busca cerrar la brecha entre el mundo de la seguridad cibernética y el mundo de SAP y potenciar tanto los equipos de Infosec/CyberseCurity y los equipos de SAP con la mentalidad, las herramientas y la comprensión necesarios.

Para aquellos que ya están en los campos de SAP (como SAP Security/GRC y Basis), el libro ofrece una importante oportunidad de crecimiento profesional para extender su conjunto de habilidades a un área con una demanda no satisfecha y un potencial de crecimiento.

P: ¿Cuáles son algunos puntos clave que cubre en su libro?

R: A continuación se presentan algunos ejemplos de algunos puntos clave del libro.

El libro presenta conceptos y principios básicos de ciberseguridad con respecto a las aplicaciones SAP. Esto incluye ideas fundamentales como la tríada de la CIA (confidencialidad, integridad y disponibilidad) y los conceptos IAAA (identificación, autenticación, autorización y responsabilidad). También sienta las bases al explicar las vulnerabilidades, las amenazas y los riesgos específicamente en el contexto de SAP.

Destaca los dominios de seguridad SAP no tradicionales que están en el corazón del libro. Si bien la seguridad tradicional de SAP se centra en áreas como la autenticación, los roles y la gobernanza, el riesgo y el cumplimiento (GRC), el libro profundiza en áreas a menudo ignoradas en la seguridad tradicional de SAP, como la gestión de vulnerabilidades, la gestión de amenazas, la respuesta a incidentes, el registro y el monitoreo, y el desarrollo seguro.

El libro proporciona una visión integral de las vulnerabilidades y parches en el paisaje de SAP. Explica las notas de seguridad de SAP, incluidos tipos notables como las notas de SAP HotNews y las notas de seguridad de SAP, y desglosa la anatomía de una nota de SAP, que detalla su estructura, atributos y contenidos, como CVE, puntajes CVSS, componentes afectados, instrucciones de corrección y paquetes de soporte.

Cubre la detección de amenazas y la respuesta a incidentes adaptada para aplicaciones SAP. El libro analiza la comprensión de las amenazas, los actores de amenazas (incluidas las motivaciones como la ganancia financiera) y los componentes de la gestión efectiva de amenazas. También profundiza en la respuesta a incidentes como una práctica especializada para manejar las violaciones de seguridad en SAP y destaca la importancia de registrar y monitorear, incluido el registro de auditoría de seguridad.

P: ¿Cómo la guía de los desarrolladores de libros para endurecer proactivamente el código ABAP personalizado, específicamente con respecto a la validación de datos, las verificaciones de autorización y las prácticas de codificación seguras dentro de formularios y mejoras dinámicas?

R: El libro guía a los desarrolladores para endurecer el código ABAP personalizado al discutir el desarrollo seguro como un componente clave de la seguridad de SAP no tradicional, vinculado a la gestión de vulnerabilidades. A través del libro, tocamos diferentes riesgos, como la validación de datos, donde observamos que la falta de validación de entrada adecuada puede conducir a fallas de inyección crítica como la inyección de SQL y los secuencias de comandos de sitios cruzados.

A lo largo del libro, recomendamos diferentes controles de seguridad (por ejemplo, con respecto a las verificaciones de autorización). El libro enfatiza que los controles de la capa de aplicación, incluido el control de acceso basado en roles, el menor privilegio y la segregación de deberes, son críticos para restringir el acceso de los usuarios a la funcionalidad y los datos, principios que deben aplicarse al código personalizado.

P: ¿Por qué necesita ciberseguridad en un sistema SAP? Casi todos los sistemas de SAP importantes usan VPN.

R: Esta es una buena pregunta. Si bien las VPN son un componente de la seguridad de la red, que es una capa importante para asegurar el panorama de SAP, no son suficientes por su cuenta. Yo (Juan) abordé este tema hace unos años aquí: 8 razones por las que la seguridad perimetral sola no protegerá sus joyas de la corona. Todos los puntos siguen siendo completamente relevantes en 2025. A pesar de eso, en los modernos paisajes de SAP de hoy en día, las organizaciones generalmente tienen todo tipo de entornos (SaaS, Cloud SaaS, Cloud IaaS y Cloud PaaS). Todos están completamente interconectados y muchas de sus partes están enfrentando a Internet, extendiendo aún más la superficie de ataque.

P: ¿Cuáles son los objetivos clave para los piratas informáticos de SAP? ¿Es la base de datos, el sistema operativo o la aplicación Core SAP?

R: En su mayor parte, hemos visto atacantes dirigidos a la capa de aplicación más que otras capas. Si bien la base de datos y el sistema operativo subyacente que admite aplicaciones SAP también son objetivos, a menudo se comprometen como un medio para un fin: obtener acceso o control sobre la aplicación SAP y sus datos confidenciales. Los ataques que explotan las vulnerabilidades en la aplicación SAP u sistema operativo pueden conducir a las credenciales de acceso a la base de datos comprometedora o eludiendo los controles de acceso a la base de datos.

Por lo tanto, los atacantes se dirigen a las vulnerabilidades en toda la pila de SAP, incluida la aplicación, el sistema operativo y la base de datos, en última instancia, buscan explotar los datos y procesos comerciales críticos dentro de la aplicación SAP.

P: ¿Hay algún hacks conocido de un sistema SAP?

R: A continuación se muestran algunos ejemplos de ataques y tipos de ataques bien conocidos dirigidos a aplicaciones SAP:

• Compromisos mediante la explotación de vulnerabilidades de SAP: Se confirmó que los compromisos históricos como los del colectivo anónimo colectivo de piratería (#OPGREECE) y en la incumplimiento del Servicio de Información de los Estados Unidos (USIS) comienzan a través de la explotación de las vulnerabilidades de SAP, incluida la vulnerabilidad de Servlet de Invoker (CVE-2010-5326). El grupo Elephant Beetle de Motivado Financieramente también aprovechó la vulnerabilidad del servlet de Invoker.
• Malware que involucra aplicaciones SAP: Diferentes variaciones de malware han evolucionado para comprender las aplicaciones SAP, como Trojan.ibank, Dridex y BlackCat Ransomware, buscando procesos y servicios de SAP específicos para capturar información o hacer que el cifrado sea más efectivo. El malware específico de Linux se ha implementado en aplicaciones SAP al abusar de las vulnerabilidades de SAP conocidas para ejecutar comandos del sistema operativo.
• Exploits de 10kblaze: Estos explotan problemas de configuración de destino en el servidor de mensajes y los componentes de la puerta de enlace de SAP, lo que puede conducir a un posible compromiso completo de una aplicación SAP no garantizada al permitir que un atacante registre un servidor de aplicaciones falso y ejecute programas externos.
• Vulnerabilidad de reconocimiento: Explotar CVE-2020-6287 permitió la creación no autenticada de un usuario administrador en los sistemas SAP afectados, lo que lleva a un compromiso completo.
• Vulnerabilidades ICMAD: Estas vulnerabilidades críticas, incluida la CVE-2022-22536, afectan al Manager de Comunicación de Internet (ICM) y pueden explotarse sin autenticación del usuario a través de HTTP a través de Internet, lo que potencialmente conduce a un compromiso total de la aplicación SAP.
• CVE-2025-31324: Entre marzo y mayo de 2025, los actores de amenaza explotaron una vulnerabilidad de un día cero para comprometer a cientos de organizaciones. Esta campaña aún está en curso …

P: ¿SAP proporciona alguna herramienta para identificar vulnerabilidades de seguridad cibernética de SAP?

R: SAP proporciona algunas herramientas que podrían ayudar a identificar vulnerabilidades; Más específicamente, tiene recomendaciones del sistema en SAP Solution Managerque puede proporcionar cierto nivel de visibilidad de ciertas vulnerabilidades de seguridad, pero eso también tiene muchas limitaciones técnicas.

P: ¿Cuáles son las medidas clave de ciberseguridad que las organizaciones deben ver, y cuáles son algunas amenazas de bajo contenido que se pueden manejar fácilmente sin mucha inversión?

R: Se trata de los procesos. Es importante integrar las aplicaciones SAP en procesos que probablemente ya existen en su organización, como la gestión de vulnerabilidad, la gestión de amenazas, la respuesta a incidentes o el ciclo de vida seguro del desarrollo. Para administrar esa integración, es posible que necesite conocimientos y soluciones especializadas para ayudar. A pesar de eso, hay ciertas frutas bajas que podrían abordarse como un punto de partida. Este artículo podría ayudar a navegar por esa fase inicial.