Aufnahme von MART PRODUCTION aus Pexels zeigt eine Person in einer alten Schule, die an einem Computer arbeitet, während sie ein Tablet hält.
Digital Business & Future 09.05.2026

SAP-BPC: La puerta trasera de SQL en la balanza trimestral

7 min de lectura

SAP cerró en abril de 2026 una vulnerabilidad de inyección SQL en Business Planning and Consolidation y Business Warehouse con CVSS 9.9. La CVE-2026-27681 permite a un usuario autenticado con privilegios mínimos ejecutar sentencias SQL arbitrarias en la base de datos. Quien, como empresa mediana, haya pospuesto el parche de abril porque la ventana de mantenimiento coincidía con el Viernes Santo y el cierre trimestral, lleva tres semanas expuesto. La nota SAP 3719353 está disponible desde el 14.04.2026, el parche ha sido probado y el esfuerzo es asumible. El retraso solo se vuelve crítico cuando se abre la ventana de auditoría para el balance del segundo trimestre.

Lo más importante en resumen

  • CVSS 9.9 afecta a la capa de informes financieros. La vulnerabilidad reside en el programa ABAP que utilizan conjuntamente BPC y BW. Un usuario con bajos privilegios puede sobrescribir valores del balance, manipular modelos o eliminar contenidos de la base de datos.
  • La nota SAP 3719353 cubre 11 versiones. Afectadas están BW 750 hasta 816, HANABPC 810 y BPC4HANA 300. Las empresas medianas con una migración a S/4HANA en preparación deberían aplicar la nota antes del corte de migración, no después.
  • Tres semanas de retraso son el problema, no la tecnología. El parche pesa 50 KB y se aplica en una hora dentro de las ventanas estándar. Quien no lo haya instalado tiene un problema de planificación de sprints, no un problema de SAP.

RelacionadoPerfil de riesgo 2026: la precaución será la estrategia más cara  /  Obligación de factura electrónica: empresas bajo presión

Por qué esta vulnerabilidad no acaba en el cajón de ciberseguridad

En la mayoría de las organizaciones de tamaño medio, un aviso de seguridad de SAP procedente del día de parches termina automáticamente en el cajón de seguridad informática. Allí se clasifica según CVSS, se agenda y se asigna al siguiente slot de sprint. Con la CVE-2026-27681, este reflejo funciona mal. La vulnerabilidad no reside en el perímetro de red, sino en un programa ABAP que se ejecuta durante la previsión corporativa y el cierre trimestral. Por tanto, no es un tema de seguridad, sino un tema de informes financieros con etiqueta de seguridad.

La descripción de SAP es inusualmente clara. Un usuario con permisos estándar, autorizado a cargar datos en un programa ABAP, puede inyectar sus propias sentencias SQL. Esto no ocurre a través de un servidor de exploits externo, sino mediante el mismo campo de entrada utilizado para cargar los datos trimestrales. Quien tome en serio el riesgo interno tiene aquí un caso de manual.

Esta es también la razón por la que la evaluación de riesgos difiere de la de una CVE estándar. En una ejecución remota de código (RCE) en FortiSandbox, el CISO debate si el dispositivo está en el área perimetral. En una inyección SQL en BPC, el director general debate si está preparando las cifras del segundo trimestre para el banco. La respuesta suele ser: sí.

Lo que dicen las 11 versiones afectadas sobre las pymes alemanas

La SAP Note 3719353 enumera una base de versiones inusualmente amplia. Se ven afectadas BW 750, 752, 753, 754, 755, 756, 757, 758, 816, así como HANABPC 810 y BPC4HANA 300. Quien coteje esta lista con la realidad típica de las pymes en la región DACH, se encontrará casi con total seguridad. BW 7.50 funciona de forma estable en muchas empresas desde 2016 y se ha mantenido bajo prórroga de mantenimiento. BPC4HANA 300 es la variante Embedded actual, que acompaña a S/4HANA.

9.9
Puntuación CVSS de CVE-2026-27681. Autenticado, sin interacción del usuario, bajo privilegio, acceso completo a la base de datos mediante carga ABAP manipulada.
Fuente: entrada NVD CVE-2026-27681, estado al 22.04.2026

En la práctica, observo tres configuraciones típicas. La primera es el clásico grupo empresarial mediano con BW como backend de informes para los reportes bancarios. Aquí no solo depende la herramienta: la pista de auditoría del último ejercicio fiscal transcurre por el mismo sistema. Una inyección SQL en esta capa no es solo una filtración de datos, sino un riesgo de auditoría, ya que la integridad de los informes históricos ya no es trivial de demostrar.

La segunda configuración es la pyme familiar con BPC para la consolidación. BPC es aquí a menudo la única herramienta que realmente conoce la dirección general, porque produce las previsiones y las comparativas planificado vs. real. Una intervención en esta capa afecta directamente la capacidad de control de la dirección general.

La tercera configuración es la migración a S/4HANA prevista para 2026. Quien quiera hacer el corte en verano, ya habrá desplegado BPC4HANA 300 y estará en fase de pruebas. Justo ahí está la vulnerabilidad. No aplicar el parche antes del corte es pura cuestión de comodidad, lo que resultará caro más adelante, ya que aplicar un parche en el sistema productivo con procesos de consolidación activos es mucho más complejo.

Qué se rompe, qué sostiene: el sprint de parcheo en mayo

Qué se rompe

  • La ventana de parcheo se desplazó por Viernes Santo, luego por el cierre del T1 y después por las fiestas de mayo.
  • El equipo SAP Basis no conoce la nota 3719353 por su nombre, porque los informes de parcheo terminan en tickets agrupados.
  • La preparación de auditoría del T2 se ejecuta en paralelo en el mismo sistema, considerándose la ventana de parcheo «molestosa».
  • La ventana de migración S/4HANA no incluye la nota en la lista de verificación del corte.

Qué sostiene

  • La nota 3719353 tiene 50 KB, es un parche estándar y el esfuerzo de prueba es inferior a dos horas.
  • SAP ha documentado con precisión el vector, siendo el caso de prueba trivialmente reproducible.
  • El argumento de auditoría es reversible: parcheado es la pista limpia, sin parchear es un comentario de riesgo.
  • La ventana de migración es la oportunidad para ejecutar la nota y el corte en un solo paso.

La asimetría es evidente. Lo que se rompe es la disciplina del sprint y la comunicación. Lo que sostiene es la sustancia de la propia nota. Quien no aplica el parche, no tiene razón técnica, sino organizativa.

Un plan de 14 días que encaja en la pequeña y mediana empresa

Sprint de parches CVE-2026-27681
Día 0 a 2
El equipo SAP Basis identifica los sistemas afectados desde el Solution Manager, lista las versiones BW/BPC y revisa los entornos de prueba y producción. La dirección recibe una evaluación de riesgo de una página con referencia concreta al segundo trimestre, no una tabla CVSS genérica.
Día 3 a 7
La nota 3719353 se aplica en el sistema de calidad y el caso de prueba documentado se ejecuta en un usuario de demostración. Paralelamente, se inventarizan todos los programas ABAP de carga que utilizan el patrón vulnerable para limitar el daño en el peor de los casos.
Día 8 a 11
Parche de producción en la próxima ventana de mantenimiento regular. Si la siguiente ventana está fuera del plazo de dos semanas, se acuerda, documenta y registra en el rastro de auditoría una sesión Out-of-Band con la dirección. Un sprint especial cuesta menos que una posterior reunión sobre hallazgos de auditoría.
Día 12 a 14
Verificación, entrada de auditoría, línea de informe en el inventario de riesgos. Quien dejó la brecha abierta durante 30 días escribe una breve entrada de lecciones aprendidas. No es un documento de asignación de culpas, sino una nota de planificación de sprints para la próxima ventana de parches.

El plan suena ajustado, pero es realista. La mayoría de las pymes de la región DACH tienen una ventana de parches SAP quincenal, aunque rara vez se mantiene de forma constante. La nota 3719353 es la oportunidad para reintegrar la ventana en la rutina, en lugar de tratarla como una operación especial.

Lo que la dirección realmente necesita saber

La evaluación de riesgo de una página para la dirección es el punto donde la mayoría de los sprints de parches fracasan, mucho antes de que el equipo base aplique siquiera la nota. Quien envía a la dirección una tabla CVSS y un aviso genérico de SAP obtiene lo que merece: un check en «tomado conocimiento». Quien escribe una página con tres puntos obtiene la aprobación de una ventana de parches.

Los tres puntos no son complicados. Primero: un usuario autenticado puede modificar nuestras cifras de consolidación del segundo trimestre antes de que pasen al informe de la junta directiva. Segundo: el parche lleva tres semanas disponible, está probado y recomendado por SAP. Tercero: la próxima ventana de parches regular es el día X, o bien proponemos una ventana Out-of-Band el día Y. Este formato respeta el tiempo de la dirección y ofrece una decisión en lugar de un estado de actualización.

Quien ha aprendido en el pasado que la dirección bloquea los temas de TI debería verificar un detalle: ¿bloquean realmente la sustancia o bloquean la forma? En la mayoría de los casos, es la forma. Una nota 3719353 con una clara referencia al segundo trimestre no es burocracia de TI, sino un asunto contable. Debería empaquetarse exactamente así.

Lo que hay que hacer además del parche

El parche es obligatorio, el inventario es complementario. Quien consulte en el Solution-Manager qué programas ABAP personalizados utilizan el patrón de carga vulnerable, generalmente encontrará más que los programas estándar de SAP. Estos programas personalizados no se han parcheado con la nota 3719353, ya que dicha nota solo aborda el estándar de SAP. Aquí es necesaria una revisión de código propia, idealmente en colaboración con el equipo de desarrollo ABAP.

La segunda tarea complementaria es el inventario de permisos. CVE-2026-27681 es explotable con un nivel de privilegios bajo. Quien revise el concepto de permisos para ver cuántos usuarios poseen el objeto de autorización necesario, a menudo verá un número en el rango de tres dígitos, resultado de un crecimiento histórico. Una reducción rápida al conjunto realmente necesario no sustituye al parche, pero sí reduce la superficie de ataque interna, por si la nota solo puede implementarse en producción dentro de dos semanas.

La tercera tarea complementaria es el logging. El SAP Audit-Log y el Read-Access-Logging muestran quién ejecutó cargas ABAP entre el 14.04.2026 y la fecha del parche. Esta lista debe conservarse, no por desconfianza, sino por precaución ante auditorías. Si un auditor pregunta dentro de doce meses si alguien aprovechó el patrón durante ese periodo abierto, la respuesta «tenemos la lista» es mucho más agradable que «no lo sabemos».

Preguntas frecuentes

¿Se está explotando activamente CVE-2026-27681?

SAP indicó en la comunicación del Patch Day del 14.04.2026 que ninguna de las vulnerabilidades abordadas se está explotando activamente en la naturaleza. Esto no cambia la obligación de aplicar el parche, ya que el vector está documentado públicamente y los riesgos internos no dependen de observaciones externas.

¿Es suficiente aplicar la Nota 3719353 solo en BPC si no tenemos BW?

No. La nota aborda un programa ABAP compartido. Incluso las instalaciones puras de BPC sin la capa de informes clásica de BW deben aplicar la nota, ya que el programa vulnerable forma parte de ambas pilas. La nota de SAP menciona explícitamente BPC4HANA 300 y HANABPC 810.

¿Qué hacer si nuestra versión de BW es la 7.40 y no aparece en la nota de SAP?

BW 7.40 está fuera del mantenimiento estándar desde 2020. Si la versión sigue funcionando en producción, es probable que la vulnerabilidad exista, pero no haya un parche disponible. SAP recomienda en este caso actualizar a una versión con soporte. De forma provisional, ayuda realizar un inventario de permisos y registrar las cargas ABAP para reducir la superficie de ataque.

¿Interferirá el parche con nuestro cutover a S/4HANA previsto para el verano?

No, todo lo contrario. Si BPC4HANA 300 se transfiere al S/4HANA de producción sin la Nota 3719353, la vulnerabilidad se trasladará al nuevo sistema tras el cutover. La forma correcta es aplicar la nota en el sistema de calidad de la migración y llevarla consigo en el cutover. El equipo de migración debe incluir explícitamente la Nota 3719353 en la lista de verificación del cutover.

¿Necesitamos asesoramiento externo para ello?

Por lo general, no para la nota en sí. Es estándar, está probada y el propio equipo de base SAP puede gestionar la ventana de parcheo. El asesoramiento externo es útil si se pretende abordar el inventario de permisos o la revisión de código de los programas ABAP personalizados, ya que estos dos temas consumen recursos que rara vez están disponibles en la operativa diaria de una empresa de tamaño medio.

Fuente de la imagen de portada: Pexels / MART PRODUCTION (px:8872665)

Más contenido de la red de medios MBF

También disponible en

Una revista de evernine media GmbH