La seguridad de infraestructuras empresariales como SAP, Odoo y otros sistemas ERP enfrenta una amenaza crítica que los métodos tradicionales de evaluación de vulnerabilidades no logran identificar. Durante operaciones como Lunar Peek en noviembre de 2024, atacantes explotaron múltiples vulnerabilidades encadenadas para obtener acceso administrativo no autorizado a más de 13,000 dispositivos, demostrando que el modelo actual de calificación de riesgos—que evalúa cada falla de seguridad de forma aislada—es fundamentalmente insuficiente para proteger infraestructuras críticas del negocio.
El problema radica en cómo la industria prioriza vulnerabilidades. Los sistemas de calificación estándar, como CVSS (Common Vulnerability Scoring System), fueron diseñados para evaluar cada vulnerabilidad individualmente. En la operación mencionada, una vulnerabilidad fue calificada como 6.9 (considerada manejable, bajo el umbral de parches de la mayoría de empresas) y otra como 9.3 (crítica, pero en cola de mantenimiento). Sin embargo, cuando fueron encadenadas—la primera eliminando requisitos de autenticación y la segunda escalando privilegios—permitieron acceso de raíz sin fricción. Ninguna de las dos puntuaciones comunicó el efecto compuesto. Las lógicas de triaje que consumían estos datos trataban cada CVE como evento aislado, exactamente como fueron diseñadas, pero los adversarios no operan de ese modo.
Para empresas latinoamericanas con infraestructuras ERP—especialmente aquellas que dependen de SAP, Odoo, Infor o plataformas similares conectadas a internet—esta brecha de evaluación representa un riesgo operativo inmediato. Los sistemas ERP integran procesos financieros, de supply chain, inventario y gestión comercial en una única plataforma. Una vulnerabilidad encadenada que compromete acceso administrativo a estos sistemas no solo paraliza operaciones; abre acceso a datos de clientes, información fiscal y secretos comerciales. El promedio de tiempo para que adversarios exploten vulnerabilidades después de la divulgación pública es de 29 minutos; el más rápido observado fue de 27 segundos. Actores relacionados con estados-nación patché vulnerabilidades dentro de dos a seis días. Una ventana de parches de una semana—estándar en muchas organizaciones latinoamericanas—es operacionalmente indefendible.
La complejidad se amplifica con tendencias emergentes. En 2025 se divulgaron 48,185 CVEs, un aumento de 20.6% interanual. Se proyecta que 2026 alcance 70,135. Simultáneamente, el National Institute of Standards and Technology (NIST) anunció que los envíos de CVEs han crecido 263% desde 2020, y el repositorio NVD ahora prioriza enriquecimiento solo para CVEs en catálogos de explotación conocida y software crítico federal. Para vulnerabilidades en sistemas ERP empresariales de mediano tamaño—especialmente en Latinoamérica—esto significa que los datos contextuales necesarios para tomar decisiones de priorización desaparecen del análisis público. Además, la inteligencia artificial de frontera está acelerando el descubrimiento autónomo de vulnerabilidades. Anthropic demostró que Claude puede encontrar fallos no identificados en código legacy con costo computacional bajo. Si la IA de frontera acelera el descubrimiento de vulnerabilidades un factor de 10x, el volumen anual alcanzaría 480,000 CVEs. Pipelines construidas para procesar 70,000 colapsarían. Las empresas que dependan de modelos reactivos de parches no sobrevivirán a esa realidad.
Para empresarios e inversores en la región, las implicaciones son concretas. Primero: auditores de cadenas de dependencia deben identificar CVEs co-residentes en sistemas ERP—particularmente aquellos que encadenan autenticación con escalada de privilegios. SAP, Odoo e Infor requieren auditorías mensuales que mapeen todas las CVEs con puntuación CVSS 5.0 o superior en componentes conectados. Segundo: los SLA de parches para sistemas de cara a internet deben comprimirse a 72 horas, no una semana. Esto requiere rediseño de pipelines de validación e implementación. Tercero: los directorios y consejos de administración deben ver reportes mensuales de CVEs sin parches por antigüedad. El actor Salt Typhoon explotó una vulnerabilidad de Cisco patched 14 meses antes porque ningún proceso de escalación existía para exposición envejecida. Cuarto: controles de identidad—gaps en autenticación de help desk, gestión de tokens de API, inventarios de credenciales de sistemas de IA agentica—deben integrarse al pipeline de vulnerabilidades empresarial. Si viven en silos de gobernanza separados, viven en la gobernanza de nadie. Quinto: proyectar capacidad de pipeline a 1.5x y 10x volumen actual antes del próximo ciclo presupuestario. No después de la brecha.
La coalición que CrowdStrike formó junto con Accenture, EY, IBM Cybersecurity Services, Kroll y OpenAI señala que ninguna organización individual puede mantener el ritmo. El futuro de la seguridad empresarial en Latinoamérica no depende de sistemas de calificación mejorados—aunque son necesarios—sino de arquitecturas de priorización que traten las cadenas de vulnerabilidades como unidades de riesgo, aceleren la validación de parches, y reconozcan que cuando el adversario descubre vulnerabilidades más rápido que los defensores, el negocio pierde.
