Escrito por Shai Gabay, cofundador y CEO de Trustmi
El sistema de planificación de recursos empresariales (ERP) es la piedra angular de las operaciones empresariales. Supervisa las relaciones financieras, adquisiciones, cadena de suministro y clientes, lo que lo convierte en un centro para datos y pagos confidenciales.
Con todas estas fuerzas concentradas en un solo lugar, no sorprende que los cibercriminales hayan centrado su atención en el ERP. Y ahora, con estrategias complejas impulsadas por Genai que proporcionan a los atacantes nuevas rutas de entrada, las violaciones de ERP se han convertido en una de las brechas peligrosas más estratégicas y peligrosamente pasadas por alto en B2B Finance.
Realice una copia de seguridad digitalmente. Según la asociación de profesionales financieros Fraude de pago e investigación de control en 2025,,,,, El 79% de las organizaciones apuntan a ataques de fraude de pago en 2024. A medida que el fraude de pago continúa creciendo a nivel mundial, entendiendo cómo los atacantes acceden a los sistemas ERP para manipular o pagar es fundamental para los equipos de seguridad, financiamiento y TI.
Personas, procesos y tecnología: los objetivos clave del fraude de pago centrado en ERP
Las personas y los procesos juegan un papel crucial en el desarrollo de los ataques ERP. Debido a que el sistema está estrechamente integrado en todos los departamentos, una sola violación en una región puede caer rápidamente en pérdidas financieras significativas. Una vez dentro, el atacante puede modificar fácilmente las instrucciones de pago para volver a renovar los fondos de Brut en sus propios intereses. Estas transacciones generalmente parecen ser legítimas, por lo que es difícil detectar el impacto demasiado tarde.
Una estrategia común implica explotar vulnerabilidades o configuraciones erróneas en las plataformas ERP. Estos pueden incluir un software obsoleto que carece de parches de seguridad críticos, controles de acceso de contraseña débiles, derechos de usuario mal administrados o API de terceros no garantizadas. El atacante también se dirige al registro de datos maestros. Al cambiar silenciosamente los detalles de la cuenta bancaria almacenados por el proveedor, pueden volver a superar los pagos legales sin despertar sospechas. Dado que estos cambios ocurren dentro del ERP, el flujo de trabajo de aprobación diaria todavía se sigue, pero los fondos terminan siendo una cuenta fraudulenta.
Las amenazas internas son igualmente peligrosas. El acceso ERP para mejorar los empleados o contratistas puede cambiar la información bancaria del proveedor, enviar facturas falsas de compañías inexistentes e incluso cubrir los controles del sistema de pago. Por ejemplo, los miembros del equipo financiero con mayores permisos de ERP pueden pagar editando la información de la cuenta del proveedor. Luego pueden cambiar los datos tan pronto como se transfieran los fondos. Es por eso que estos ataques requieren mucha diligencia debida y monitoreo para identificarlos y bloquearlos.
Observe los intentos de fraude ERP del mundo real
En 2019, los investigadores descubrieron 10kblaz Actividadun conjunto de utilización de configuraciones de SAP no seguras. Estos defectos permiten a los atacantes obtener acceso no autenticado al sistema SAP NetWeaver, los privilegios de actualización y el control completo del entorno ERP. Con este nivel de acceso, el oponente puede cambiar los datos financieros, cambiar el registro maestro del proveedor o pagar. Este es un ejemplo temprano de cómo una vulnerabilidad del sistema impulsa el fraude ERP.
Avance rápido hasta 2025, cuando múltiples ataques nuevos muestran cuán grave se ha vuelto el riesgo. uno Vulnerabilidad de día cero en el compositor visual de SAP NetWeaver Se expusieron más de 400 sistemas. Al pasar por alto los controles clave, los atacantes pueden acceder a plataformas que poseen datos financieros, de adquisición y de la cadena de suministro. El defecto fue rematado más tarde, pero el incidente mostró cómo las debilidades de ERP representan un riesgo de fraude sistémico en todas las industrias.
En otro caso del mismo año, el atacante explotó el defecto de inyección de comando crítico de la plataforma SAP S/4HANA ERP (CVE-2025-42957). Según NISTEste defecto permite a los usuarios de bajo nivel acceder al código ABAP arbitrario a través de puntos finales RFC, otorgando así efectivamente el control completo del sistema ERP. Los atacantes pueden manipular bases de datos, crear cuentas de administrador e infiltrarse en datos. Investigadores de seguridad del puente de seguridad, a pesar de que SAP publicó un parche en agosto de 2025 Confirmado Explotación activa en la naturaleza.
Protección general ERP: brechas de fraude parpadeantes con personas, procesos y tecnología
Las ondas recientes de ataques dirigidos a ERP han demostrado cuán expuestos están estos sistemas cuando la brecha no está restringida. Resolver riesgos significa ir más allá de los parches técnicos y ver la protección de ERP como un equilibrio de personas, procesos y tecnología.
gente
La seguridad ERP depende en gran medida de la conciencia de los empleados. Sin embargo, muchos equipos financieros no se dan cuenta de que un atacante puede hacerse cargo del sistema ERP para pagar o manipular registros. Sin este conocimiento, prepararon cómo se ven estos esquemas. El entrenamiento dirigido para escenarios de fraude específicos de ERP es crucial. Cuando los trabajadores saben cómo identificar correos electrónicos falsos, estafas de facturas o solicitudes de pago inusuales, es más probable que detengan el fraude antes de llegar al sistema.
proceso
Las políticas de seguridad ERP también deben centrarse en administrar el acceso a los pagos y los procesos de aprobación. La licencia restringe a los empleados a flujos de trabajo o registros de proveedores relacionados con sus roles. Los aranceles como la entrada de facturas, la aprobación y el procesamiento de pagos reducen aún más el riesgo de amenazas internas. Sin embargo, esta división del trabajo también crea mayores necesidades técnicas y puede proporcionar una supervisión general.
tecnología
Sabemos que los firewalls tradicionales y los filtros de correo electrónico no proporcionan una seguridad adecuada en los sólidos entornos de fraude de datos y datos actuales. Se requiere una detección rápida para evitar resultados costosos. En la era de la IA, esto incluye aprovechar la velocidad y la complejidad de la tecnología para analizar, monitorear y rastrear los comportamientos, alertando así a las empresas sobre las anomalías.
La IA puede integrarse en los sistemas de ERP, correo electrónico y adquisición para detectar y prevenir intentos de fraude. Se puede monitorear por adelantado de varias maneras, incluida la detección de cambios sospechosos en las cuentas bancarias de proveedores, establecer un punto de referencia para los comportamientos de pago del proveedor y determinar qué constituye “normal”. La IA también puede recordar a los equipos financieros y de TI para comprender los cambios en el proceso habitual, como las solicitudes de pago temprano o las solicitudes de factura de que los pagos son inusualmente grandes.
Final
Las empresas consideran que los sistemas ERP son herramientas operativas, pero no pueden olvidar cuán profundos son en el desarrollo del dinero. Esto los convierte en uno de los puntos de control estratégico para combatir el fraude de pago B2B. Al comprender los riesgos, invertir en educación de seguridad, implementar las mejores prácticas y aprovechar las tecnologías de detección inteligente, las organizaciones no solo pueden proteger sus datos, sino también sus resultados.
Sobre el autor
Shai Gabay También es el cofundador ConfianzaEsta es una plataforma de seguridad de pago de extremo a extremo líder establecida en Israel en 2021. Shai posee una licenciatura en ingeniería de software de Shenkar College y una maestría en administración de empresas de la Universidad de Tel Aviv.
Publicaciones de PaymentsNext recientes:
Cómo las empresas pequeñas y medianas transfieren la potencia en la próxima era comercial
