Cabecera blog ciberseguridad

Ciberseguridad del software empresarial

- Ciber 4 All Team
La ciberseguridad del software empresarial es crítica para las compañías

Las compañías que emplean CRM, ERP y otros programas en su día a día deben situar la ciberseguridad del software empresarial en el centro de su estrategia

Google, Allianz, Qantas, Adidas, Chanel, Pandora… ¿Qué tienen en común estas compañías? Todas ellas han sufrido brechas de seguridad que se han saldado con el robo de datos almacenados en su CRM. De hecho, estas organizaciones trabajan con el mismo CRM: Salesforce, uno de los programas de gestión de clientes más usados en todo el mundo.

La ola de ataques contra compañías que emplean este CRM evidencia, una vez más, que la ciberseguridad del software empresarial debe ser una prioridad estratégica para las empresas.

¿Por qué? Hoy en día, la práctica totalidad del tejido productivo emplea Software-as-a-Service para realizar tareas críticas de su día a día. Desde la gestión de las ventas hasta la distribución de la carga de trabajo, pasando por las comunicaciones internas y externas o la atención al cliente.

Y los actores maliciosos lo saben. De hecho, son conscientes de que en estos programas se almacenan valiosos datos sobre los clientes de las empresas, pero también información confidencial sobre su estrategia comercial o sus operativas internas.

¿Para qué quieren los ciberdelincuentes poner en jaque la ciberseguridad del software empresarial? Sus objetivos no te van a sorprender: extorsionar a las empresas para monetizar directamente los ataques, menoscabar su reputación, lanzar campañas de fraudes contra sus clientes

A continuación, te contamos por qué es crítico fortalecer la ciberseguridad del software empresarial y la forma de conseguirlo.

1. La ingeniería social es la mayor amenaza para la ciberseguridad del software empresarial

¿Cómo pudieron los actores maliciosos colarse en las instancias del CRM de Salesforce de grandes multinacionales? Como en todos los ejemplos que vamos a traer a colación en este artículo, los ataques comenzaron mediante el uso de técnicas de ingeniería social.

¿Cuál fue el modus operandi de los grupos delictivos detrás de las campañas para acceder ilegítimamente al CRM de Salesforce de las compañías?

  1. Los actores maliciosos suplantaron la identidad del personal de IT de las empresas.
  2. A través de llamadas telefónicas falsas dirigidas a profesionales concretos, consiguieron que estos accedieran a una página de configuración de aplicaciones conectadas a Salesforce.
  3. Allí, conseguían que los profesionales vincularan una versión maliciosa de la aplicación de Salesforce Data Loader OAuth con las instancias del CRM.
  4. De esta forma, los delincuentes podían acceder al software y obtener datos críticos sobre clientes y ventas.

Estos ataques evidencian, una vez más, que las técnicas de ingeniería social y la baja capacitación de los trabajadores en esta materia suponen una mayúscula amenaza para la ciberseguridad del software empresarial.

A ello debemos sumar el hecho de que los ataques de ingeniería social son cada vez más personalizados y sofisticados. En el ejemplo que venimos de ilustrar, los delincuentes se dirigieron contra profesionales concretos de empresas específicas. Esto les permitió dotar de mayor credibilidad al engaño y lograr vencer las reticencias y reservas de los usuarios atacados.

Además, el perfeccionamiento de las IA generativas, que ya son capaces de crear deepfakes de voz y video creíbles va a complicar todavía más el panorama de amenazas que se ciernen sobre la ciberseguridad del software empresarial.

Los actores maliciosos están poniendo en su punto de mira los software empresariales

2. Las vulnerabilidades 0-day ponen en jaque la ciberseguridad del software empresarial

Hace unos días, se publicó una nueva versión de WinRAR, un sencillo programa de compresión y descompresión de archivos usado por millones de usuarios y empresas en todo el mundo gracias, precisamente, a su simplicidad.

Esta nueva versión trae consigo un parche de seguridad para solventar una vulnerabilidad 0-day que ya ha sido explotada con éxito. La CVE-2025-8088 permite a los atacantes ejecutar código malicioso en los equipos de sus víctimas. Entre las organizaciones atacadas se encuentran compañías europeas y canadienses de sectores estratégicos como el financiero, el manufacturero, la defensa o la logística.

Un año antes, SAP, la compañía que desarrolla uno de los ERP más completos y usados del mundo lanzó, también, un parche de seguridad para solventar hasta 17 vulnerabilidades presentes en su software. Una de estas vulnerabilidades consistía en la omisión de la comprobación de autenticación de un usuario, lo que facilitaría que atacantes remotos pudiesen comprometer el sistema.

Para que nos hagamos una idea de la relevancia de SAP en el sector del software de gestión empresarial, debemos señalar que el 90% de las compañías que figuran en la lista Forbes emplean esta solución. De ahí que, constantemente, los delincuentes busquen vulnerabilidades en sus herramientas.

De hecho, la explotación de vulnerabilidades 0-day que afectan a programas usados por empresas y profesionales se ha convertido en una prioridad para los grupos delictivos más avanzados.

En los últimos tiempos hemos conocido múltiples casos. Por ejemplo, una vulnerabilidad crítica presente en Adobe Acrobat Reader permitía ejecutar código malicioso en los dispositivos de las víctimas. Mientras que varias vulnerabilidades en las aplicaciones de Microsoft para macOS permitían a los actores hostiles gravar videos y audios, sacar fotografías, exfiltrar datos de programas como Teams o Powerpoint y hasta enviar emails desde Outlook.

Hace tan solo unos días, la CISA, la agencia estadounidense a cargo de la ciberseguridad, alertó de que una vulnerabilidad crítica en el software de gestión de impresión PaperCut, usado por más de 70.000 empresas en todo el mundo, tenía una vulnerabilidad que permitía la ejecución de código malicioso. Los casos no dejan de sucederse.

3. Más allá de los datos: Menoscabar la ciberseguridad del software empresarial puede paralizar a una empresa

El año pasado, un hacker logró comprometer una cuenta de Google Workspace de un profesional de Unicoin, un proyecto centrado en la inversión en criptoactivos. Una vez dentro de la suite de Google, consiguió cambiar las contraseñas de todos los trabajadores de la compañía, provocando que ningún profesional pudiese acceder durante días a herramientas básicas como Gmail o Google Drive.

Durante los cuatro días que duró el incidente, el actor malicioso pudo acceder a datos y documentos confidenciales y la continuidad de negocio de la empresa se vio afectada.

Este incidente de seguridad nos permite poner el foco en una cuestión que no podemos pasar por alto: la ciberseguridad del software empresarial es crítica porque en un mundo plenamente digitalizado, las empresas no pueden operar si sus programas de uso diario no están disponibles como consecuencia de un ataque exitoso.

4. La importancia de la formación y la implementación de medidas básicas de seguridad

¿Qué lecciones podemos extraer de los casos que hemos ido desgranando?

  1. Es fundamental que las empresas lleven a cabo campañas de concienciación internas, inviertan en formar a sus trabajadores y se sometan a test de ingeniería social periódicos. En este sentido, es crítico poner el foco en la ciberseguridad del software empresarial y trasladar a las plantillas una serie de buenas prácticas que les permitan detectar los ataques e informar sobre cualquier intento de engaño.
  2. Resulta crítico disponer de una estrategia de seguridad Cloud para empresas.
  3. Las compañías deben contar con medidas básicas de seguridad como:
    Tener en cuenta la ciberseguridad a la hora de contratar software de terceros. Por ejemplo, asegurándose de que los desarrolladores cumplen con los estándares de ciberseguridad más exigentes.
    • Implementar la autenticación multifactor para acceder a las cuentas de los usuarios en los programas empresariales: CRM, ERP, ecosistemas como Microsoft 365 o Google Workspace.
    • Aplicar el principio de mínimo privilegio para limitar el impacto de la vulneración de la cuenta de un profesional en un software empresarial.
    Actualizar continuamente los programas que emplean los trabajadores para instalar parches de seguridad que subsanen vulnerabilidades de los software.
    • Facilitar un canal ágil y sencillo para que los profesionales puedan alertar sobre actuaciones sospechosas.
    • Llevar a cabo auditorías de seguridad continuas combinando el uso de herramientas automatizadas con el conocimiento de los profesionales de ciberseguridad para detectar incidentes en fases tempranas.
La ciberseguridad del software empresarial debe tenerse en cuenta al contratar un programa

5. Qué dice la normativa europea sobre la ciberseguridad del software empresarial

Elegir software empresarial que cuente con mecanismos de seguridad robustos no solo es una medida clave para evitar incidentes de seguridad, sino que puede resultar obligatorio legalmente.

Actualmente, varias normas recogen la obligación de las compañías de tener en cuenta la ciberseguridad del software empresarial al elegir a sus proveedores:

  • El RGPD, la principal norma de protección de datos en la UE, estipula en su artículo 28 que una empresa «elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados». ¿Quién puede ser considerado encargado del tratamiento de datos? Las compañías que ofrecen soluciones informáticas a otras organizaciones para, por ejemplo, almacenar documentos en la nube. Además, las empresas tienen derecho a que los desarrolladores les faciliten la información que demuestre que cumplen los requisitos de seguridad del RGPD y les permitan realizar auditorías de seguridad.
  • La directiva NIS2, que se transpondrá en España a través de la Ley de Ciberseguridad, establece en su artículo 21 que una de las medidas para la gestión de riesgos de ciberseguridad es garantizar «la seguridad de la cadena de suministro, incluidos los aspectos de seguridad relativos a las relaciones entre cada entidad y sus proveedores o prestadores de servicios directos». De ahí que las organizaciones que operen en sectores críticos deban contemplar la ciberseguridad del software empresarial que emplean.
  • El reglamento CRA obligará, desde diciembre de 2027, a los desarrolladores y comercializadores de productos informáticos a cumplir requisitos esenciales de ciberseguridad y realizar evaluaciones de conformidad.
  • El reglamento DORA impone a las entidades del sector financiero el deber de firmar cláusulas contractuales con sus proveedores de servicios TIC que incluyan cuestiones como la protección de datos, la asistencia en incidentes de seguridad, el desarrollo de políticas de seguridad que garanticen un nivel adecuado de protección o la realización de auditorías de seguridad.

6. Cómo fortalecer la ciberseguridad del software empresarial

¿De qué forma pueden las compañías mejorar su ciberresiliencia a los ataques y fortalecer la ciberseguridad del software empresarial que emplean? Además de realizar test de ingeniería social para simular ataques específicos contra programas de uso cotidiano y auditorías de seguridad, deben contar con servicios de ciberseguridad avanzados como:

  • Gestión de vulnerabilidades. Habida cuenta de que muchos ataques buscan menoscabar la ciberseguridad del software empresarial mediante la explotación de vulnerabilidades desconocidas, es fundamental actuar de inmediato cuando se detecta una vulnerabilidad en un programa corporativo. De esta forma, se puede prevenir la explotación exitosa de una debilidad que afecta a un software empleado por la empresa.
  • Pentesting. Mediante la realización de test de intrusión avanzados es posible comprobar si se puede atacar a una empresa a través de un software empresarial, corregir las debilidades encontradas e implementar mejoras para optimizar la resistencia frente a ataques reales.
  • Respuesta a incidentes proactiva. Fortalecer la ciberseguridad del software empresarial pasa por asumir que no existe un escenario de riesgo 0. Aunque se cuenten con medidas sólidas para prevenir los ataques, estos pueden llegar a suceder. Por eso, es fundamental contar con un servicio de respuesta a incidentes proactivo que actúe de manera inmediata cuando se detecte el acceso indebido a un programa corporativo o la presencia de un actor hostil en los sistemas de la empresa. De esta forma, se puede contener la actividad maliciosa, expulsar a los delincuentes, solventar el incidente en el menor tiempo posible y minimizar el impacto del ataque.

Los software empresariales se han vuelto indispensables para las compañías de todos los sectores y tamaños. La mayoría de ellas almacenan en su interior todo su caudal de información y los emplean para llevar a cabo sus funciones diarias.

Garantizar la ciberseguridad del software empresarial es una cuestión estratégica, puesto que están en juego tanto los datos de las empresas como su propia operatividad.

Las consecuencias de ataques exitosos contra programas corporativos pueden llegar a ser devastadoras.