10. marzo 2026 | Imprimir artículo |

SAP Patch Day Marzo 2026: Vulnerabilidad crítica en NetWeaver con CVSS 9.1

7 min de lectura

El 10 de marzo de 2026, SAP parcheó una vulnerabilidad crítica en el NetWeaver Enterprise Portal, clasificada con CVSS 9.1. CVE-2026-27685 permite, mediante una deserialización insegura en la interfaz de administración, la ejecución de código arbitrario. SAP clasificó el parche como „Hot News“. Para los más de 400.000 clientes de SAP en todo el mundo comienza una carrera contrarreloj.

En resumen

  • 🔴 CVE-2026-27685 afecta a SAP NetWeaver Enterprise Portal con CVSS 9.1 (Nota de Seguridad SAP, marzo 2026).
  • 🏢 Más del 80 por ciento de las empresas del DAX y decenas de miles de pymes utilizan SAP NetWeaver.
  • ⚡ El vector de ataque pasa por cuentas de administrador comprometidas e insiders con privilegios elevados.
  • ⚖️ Desde NIS2, los sistemas SAP sin parchear suponen un riesgo de responsabilidad personal para los directores generales.
  • 🛡️ SAP recomienda aplicar el parche en un plazo de 24 horas. CISA ha incluido la vulnerabilidad en el catálogo KEV.

Qué ha ocurrido: CVSS 9.1 en el núcleo de la TI empresarial

En el SAP Patch Day de marzo de 2026, SAP publicó un total de 18 notas de seguridad. La más crítica de todas: CVE-2026-27685, una vulnerabilidad en el NetWeaver Enterprise Portal. La causa es una deserialización insegura en la interfaz de administración. Un atacante con derechos de administrador comprometidos puede insertar y ejecutar código arbitrario.

Esto puede parecer inicialmente un escenario limitado. Pero la realidad en muchas empresas es diferente: las cuentas de administrador de SAP suelen ser compartidas por varias personas, las contraseñas rara vez se rotan y el Privileged Access Management para sistemas SAP no está implementado en la mayoría de las pymes. Basta una cuenta de administrador comprometida para tomar el control de toda la infraestructura ERP.

„Los sistemas SAP son la columna vertebral de la economía alemana. Una vulnerabilidad con CVSS 9.1 en el NetWeaver Enterprise Portal no afecta solo al departamento de TI. Afecta simultáneamente a producción, compras, finanzas y recursos humanos.“

Inprosec SAP Security Advisory, marzo 2026

Por qué esta vulnerabilidad es distinta a los parches SAP habituales

SAP publica notas de seguridad mensualmente. La mayoría afectan a áreas periféricas o requieren configuraciones específicas. CVE-2026-27685 es diferente: el NetWeaver Enterprise Portal es la capa de acceso central para aplicaciones SAP. Quien lo compromete, obtiene acceso a todo lo que hay detrás: ERP, CRM, RRHH, contabilidad financiera.

Se añade el vector interno. La seguridad perimetral clásica no sirve aquí. El ataque proviene de un usuario autenticado con derechos de administrador. Esto significa: ni el cortafuegos ni los sistemas IDS emiten alertas. Solo el análisis conductual o soluciones de seguridad SAP especializadas como SecurityBridge u Onapsis pueden detectar este tipo de ataque.

Según informa SecurityWeek, SAP ha parcheado además vulnerabilidades críticas en Financial Consolidation y Quotation Management. En conjunto, un día de parches claramente por encima de la media.

CVSS 9.1
Clasificación crítica
80 %+
Empresas del DAX que usan NetWeaver
24 h
Plazo recomendado por SAP para aplicar el parche

NIS2 convierte los sistemas SAP sin parchear en un riesgo personal

Desde diciembre de 2025 está en vigor la ley de implementación de NIS2. El artículo 38 BSIG obliga a la dirección general a aprobar personalmente las medidas de gestión de riesgos y supervisar su implementación. Un sistema SAP sin parchear con una vulnerabilidad conocida de CVSS 9.1 ya no es un descuido técnico. Es un riesgo de responsabilidad personal para el director general.

El plazo de registro ante el BSI según NIS2 expiró el 6 de marzo de 2026. A partir de ahora, el BSI puede iniciar medidas de supervisión. Una empresa que no aplique el parche de CVE-2026-27685 a tiempo y que además esté sujeta a NIS2 ofrece al BSI una razón concreta para una auditoría.

Qué deben hacer ahora los equipos de TI

Paso 1: Inventario (inmediatamente). ¿Qué sistemas SAP están operativos en su entorno? ¿Qué versión del NetWeaver Enterprise Portal se está utilizando? La nota de seguridad SAP 3XXX contiene las versiones afectadas y la solución.

Paso 2: Priorización del parche (24 horas). SAP clasifica el parche como „Hot News“. Esto significa: máxima prioridad, no esperar a una ventana de mantenimiento. Pruebe el parche en un entorno de sandbox y despliéguelo en los sistemas de producción en un plazo de 24 horas.

Paso 3: Auditoría de cuentas de administrador (esta semana). ¿Cuántas cuentas de administrador SAP existen? ¿Quién tiene acceso? ¿Se rotan las contraseñas? ¿Existen cuentas compartidas? El vector de ataque a través de administradores comprometidos significa: su higiene administrativa ahora es crítica para el negocio.

Paso 4: Monitorización específica para SAP. Las soluciones SIEM estándar no detectan de forma fiable los ataques específicos de SAP. Evalúe SecurityBridge, Onapsis o SAP Enterprise Threat Detection como complemento.

Conclusión: Los parches de SAP ya no son una rutina de TI

CVE-2026-27685 es más que un parche mensual. Es una llamada de atención para cualquier empresa que utilice SAP como columna vertebral de sus procesos empresariales. La combinación de CVSS 9.1, vector de ataque interno y responsabilidad según NIS2 convierte este parche en un asunto de máxima prioridad para la dirección. Quien no actúe ahora, no solo arriesga un incidente de seguridad, sino consecuencias personales a nivel directivo.

Preguntas frecuentes

Utilizamos SAP S/4HANA Cloud. ¿Estamos también afectados?

CVE-2026-27685 afecta específicamente al NetWeaver Enterprise Portal, no a S/4HANA Cloud. Sin embargo, muchas empresas utilizan entornos híbridos en los que componentes de NetWeaver on-premise actúan como puerta de enlace a servicios en la nube. Revise su arquitectura: si un sistema NetWeaver actúa como capa de acceso, es vulnerable, incluso si los datos reales están en la nube.

Nuestro equipo de SAP dice que el parche requiere una ventana de mantenimiento. ¿Qué tan urgente es realmente?

SAP clasifica el parche como „Hot News“. Este es el nivel más alto de urgencia. En la práctica, significa: no esperar una ventana de mantenimiento regular, sino aplicar el parche en un plazo de 24 horas. Pruebe el parche en un entorno de sandbox y despliéguelo inmediatamente después en producción. La alternativa es un sistema con una vulnerabilidad CVSS 9.1 de conocimiento público.

¿Cómo detectamos si nuestras cuentas de administrador de SAP han sido comprometidas?

Los sistemas SIEM estándar no suelen detectar anomalías específicas de SAP. Revise los registros de auditoría de SAP en busca de actividades administrativas inusuales: accesos fuera del horario laboral, cambios masivos en permisos, nuevas conexiones RFC. Soluciones especializadas como SecurityBridge u Onapsis ofrecen detección automatizada de amenazas SAP. Cómo las empresas pueden asegurar sistemáticamente su cadena de suministro de software se muestra en el SBOM-Praxischeck.

¿Debemos notificar este parche al BSI?

No es necesario notificar la aplicación del parche. Pero: si están sujetos a NIS2 y no aplican el parche a tiempo, el BSI puede considerarlo durante una auditoría como incumplimiento de las obligaciones de gestión de riesgos. Documente cuidadosamente el proceso de parcheo, incluyendo marcas de tiempo y responsabilidades.

¿Existe alguna solución temporal si no podemos parchear inmediatamente?

SAP recomienda como medida temporal restringir el acceso de administrador al NetWeaver Enterprise Portal. Desactive el acceso de administrador remoto, exija autenticación multifactor para todas las cuentas de administrador SAP y supervise de cerca los registros de auditoría de SAP. Esto no sustituye al parche, pero reduce la superficie de ataque.

Lecturas recomendadas en la red

Más del MBF Media Netzwerk

Fuente de imagen: Pexels

Imprimir artículo
Benedikt Langer

Sobre el autor: Benedikt Langer

Más artículos de

Una revista de Evernine Media GmbH