Recientemente, se ha advertido a los usuarios de SAP que las aplicaciones web de reclutamiento de la empresa podrían estar expuestas a brechas de seguridad cibernética. Esta advertencia surge a raíz de las pruebas realizadas por Bowbridge Software, proveedor de seguridad y socio de larga data de SAP, en 120 empresas que utilizan la aplicación de reclutamiento de SAP para verificar si se estaban adoptando las medidas de seguridad adecuadas para proteger la aplicación.
Uno de los hallazgos críticos fue que el 52% de los sistemas probados no impedían la carga de malware. Se evaluaron tres áreas críticas: seguridad de la capa de transporte, proceso de registro y carga de archivos adjuntos. La aplicación de reclutamiento recopila datos personales por defecto, y el estudio reveló que el 81% de las implementaciones probadas utilizaban encriptación SSL de forma predeterminada. Sin embargo, más del 30% de los sitios probados permitían que se eludiera la encriptación SSL simplemente cambiando el protocolo de URL de https:// a http://.
Al profundizar en los resultados, se descubrió que menos del 12% de los sistemas probados requerían que los usuarios confirmaran su dirección de correo electrónico, lo que convierte a estos portales en objetivos fáciles. Además, el 38% de los sistemas requerían que las contraseñas cumplieran con requisitos mínimos de longitud o complejidad. Casi el 60% de los sistemas notificaban a los usuarios sobre restricciones en los tipos de archivos permitidos para cargar, pero alrededor del 30% de los portales no implementaban ningún tipo de filtrado o restricción en los tipos de archivos aceptados por la aplicación.
Según los hallazgos, esto significa que un tercio de las aplicaciones y sus usuarios están expuestos a una amplia gama de amenazas basadas en archivos. “Más del 60% de los sistemas que probamos permitieron la carga de archivos arbitrarios tan pronto como se cambiaba la extensión a una de las extensiones permitidas en la lista”, afirma el informe. También se revelaron brechas a través de la carga de archivos HTML con JavaScript incrustado, ya que el 31% de los sistemas permitían la carga de archivos JavaScript sin formato.
Además, se descubrió que los sistemas permitían la carga de archivos de Java Archives (.jar), Flash, Silverlight, documentos de Office con macros en el formato antiguo (CDF, preOffice 2007) y documentos con macros en el nuevo formato (OOXML). El 29% de los sistemas permitían la carga de archivos ejecutables de Windows (.exe) y más del 30% permitían la carga de archivos ejecutables de DOS (.com) y bibliotecas compartidas (.dll) en el almacén de datos de SAP. La lista también incluye archivos PDF, XML y XSLT, entre otros.
“Si bien solo probamos la aplicación de reclutamiento, estos resultados ciertamente se pueden aplicar a cualquier aplicación web de SAP que las empresas estén utilizando”, afirmó Jörg Schneider-Simon, CTO de Bowbridge. “Al no asegurar sus aplicaciones de SAP, las empresas están corriendo un enorme riesgo no solo con sus datos, sino también con su futuro”. Schneider-Simon aseguró a los clientes que todas las pruebas fueron completamente no intrusivas.
Es fundamental que las empresas que utilizan aplicaciones web de SAP tomen en serio la seguridad de sus sistemas. La protección de los datos personales y la prevención de brechas de seguridad son aspectos cruciales para garantizar la continuidad y el éxito de cualquier negocio.
Para leer la historia completa, haga clic aquí.
