TECNOVIRUS.- Los investigadores de seguridad de SecureState, Brett Kimmel y Tom Eston, hicieron una prueba informática con la que demostraron que se puede acceder a la base de datos de una empresa mediante el sistema de planificación de recursos empresariales de Microsoft (ERP por sus siglas en inglés), para después desviar fondos al momento que se evita la detección de esta intrusión. Esto lo realizaron en la conferencia Black Hat Abu Dhabi. Por otra parte, en la web-site de SecureState se puede ver un documento donde se habla en detalle de este ataque simulado, que se ha bautizado como Project Mayhem.
Cuando un hacker entra al ERP de una empresa, puede llegar al programa con el que manejan las finanzas de la misma, así como a las aplicaciones que emplean para hacer sus operaciones comerciales. Microsoft no es el único que desarrolla un ERP, porque SAP y Oracle también lo hacen. Muchos expertos en seguridad informática han mencionado que hackear un ERP no es nada fácil, porque se requieren conocimientos y experiencia técnica en el ámbito contable, para manipular correctamente las cuentas y evitar ser detectado.
En Project Mayhem se ha profesado que con un equipo de expertos técnicos y un contador público certificado se puede atacar con éxito una ERP, para lo que indagaron acerca de como entrar a la base de datos de Microsoft SQL Server a través de los clientes de Microsoft Dynamics GP, usando un código malicioso o incitando al usuario a navegar hacia una web-site desde la que se le puede descargar el código de ataque, que al instalarse en la computadora, se puede emplear para interceptar las comunicaciones entre la base de datos y el cliente, pudiendo inyectar comandos y alterar los datos financieros para trasladar estos fondos a otra cuenta bancaria. Dependiendo de lo sofisticado que sea el programa ,alicioso, a lo mejor no es detectado por un antivirus, por lo que el hacker debe ser muy ingenioso para que no lo descubran.
Con información de: Channelbiz.es
