Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

ERP desactualizado, incidente asegurado

Fecha de publicación 26/03/2019
Autor
INCIBE (INCIBE)
Imagen de acompañamiento

Muchas son las empresas y organizaciones que utilizan un software específico para gestionar sus procesos dentro del negocio, a estas herramientas se las conoce como Enterprise Resource Planning o más comúnmente por sus siglas Este tipo de aplicaciones pueden gestionar una gran cantidad de procesos críticos para las organizaciones como por ejemplo: la gestión con proveedores, el ciclo de vida de un proyecto o las operaciones realizadas por el Departamento de RR.HH. o el Departamento Financiero, ya que este software puede ser utilizado para multitud de propósitos. Los ciberdelincuentes lo saben y por esa razón han puesto en su punto de mira a estas herramientas.

Parches de seguridad, actualizaciones y malas configuraciones

Varios son los factores por los que los ERP no suelen estar actualizados a la última versión. La propia complejidad de la herramienta, el número de instancias a actualizar, el miedo a un error en la actualización y que el servicio deje de funcionar o simplemente, por falta de cultura de seguridad y la creencia de que si algo funciona bien es mejor dejarlo como está, están entre los motivos principales.
Según informes publicados, desde el año 2000 el número de vulnerabilidades descubiertas en los dos ERPs más usados a nivel mundial ha aumentado constantemente. Esto unido a que el número de exploits o códigos maliciosos públicos se ha incrementado, hace que sean un objetivo «muy jugoso» para los cibercriminales.
Otro de los problemas más comunes es permitir el acceso a la aplicación desde Internet. Esto en sí mismo no es una mala práctica, pero si tenemos en cuenta que muchas herramientas no disponen de las últimas actualizaciones o que permiten la conexión segura por medio de VPN, hace que sean una amenaza para las organizaciones.

Objetivo de ciberdelincuentes

Los ciberdelincuentes se han aprovechado, y aprovechan, de las vulnerabilidades y la falta de configuración de los ERP para diversos fines:

  • Robo de información confidencial. Muchas son las organizaciones que utilizan este tipo de software para gestionar sus proyectos y alojar información confidencial. En caso de un acceso no autorizado, los ciberdelincuentes podrían tener acceso a esta información, pudiendo venderla a la competencia o usarla como medio de extorsión.
  • Robo de datos bancarios. Números de cuenta o de tarjeta son almacenados y gestionados por los ERP, por lo que su robo puede acarrear pérdidas económicas para la empresa o sus clientes.
  • Robo de datos personales. Es común que el departamento de RR. HH. de una organización tenga almacenados en este tipo de aplicaciones, los datos personales como nombres y apellidos, información de contacto o direcciones, etc. Todo es almacenado y gestionado desde los ERPs, por lo que un acceso fraudulento puede permitir su filtración con la consiguiente pérdida reputacional e incluso implicaciones legales según el RGPD.
  • Denegaciones de servicio. Prácticas que afectan a los servicios ofrecidos por las empresas, que pueden tener un enorme impacto reputacional si éstas no son bien gestionadas.
  • Minado de criptodivisas. Los ciberdelincuentes pueden aprovecharse de la capacidad computacional de los equipos que alojan este tipo de software para utilizarlos en su beneficio mediante el minado de criptomonedas. Además de incrementar el consumo energético y provocar el deterioro del dispositivo puede hacer que el sistema sea más lento, llegando incluso a hacerlo inoperativo.
  • Infecciones por malware. Infectar los dispositivos con troyanos, keyloggers o incluso ransomware es otra práctica muy extendida que puede poner en peligro la continuidad de una organización.

Buenas prácticas y medidas de protección

Para prevenir que el ERP sea víctima de los ciberdelincuentes, uno de los principales puntos a seguir es implantar una política de actualizaciones mediante la cual se puedan realizar las actualizaciones de software necesarias con las que aplicar los parches de seguridad lanzados por el desarrollador con garantías de funcionamiento, ya que uno de los principales motivos por los que no se aplican las actualizaciones es por temor a que estas repercutan negativamente. Como ocurre con cualquier sistema o servicio que tengamos en producción, hemos de contar con un entorno de desarrollo y/o preproducción para poder realizar las actualizaciones y comprobar si afectan al normal funcionamiento de la aplicación, evitando comportamientos que puedan perjudicar la funcionalidad del ERP en el entorno de producción.
Otro punto importante a considerar en este tipo de herramientas, es si se habilita el acceso desde Internet. Siempre que sea posible se limitará su acceso a no ser que sea imprescindible para el funcionamiento de la empresa. En caso de que se tengan que realizar conexiones desde redes externas se deben realizar siempre a través de una VPN que mitigará posibles fugas de información y accesos no autorizados.
Evitar utilizar contraseñas por defecto o débiles, ya que muchas veces se implantan medidas de seguridad complejas, pero al usar contraseñas inseguras se reduce enormemente el nivel de seguridad.
Revisar los privilegios de los usuarios y otorgar únicamente aquellos que sean necesarios para desempeñar el trabajo.
Monitorizar y registrar el ERP para que en caso de actividad anómala o incidente de seguridad se pueda identificar la causa lo antes posible.

 

Un ERP es una gran alternativa con la que aumentamos significativamente la eficiencia en la gestión de una empresa, pero también podemos ponerla en riesgo si no se aplican las medidas de seguridad necesarias.