TR35 Argentina y Uruguay Technology Review en español elige a los 10 innovadores menores de 35

Mariano Nuñez, 27

Sistema líder para la protección de software empresarial

Onapsis

Mariano Núñez

Imaginemos que un ciberatacante entrara en el sistema desde el que una empresa paga a sus empleados y proveedores, gestiona sus ventas y organiza su producción. Inadvertido por los administradores, este intruso podría colocar una ‘puerta trasera’ por la que acceder -con privilegios elevados- a información sensible y al control de funciones críticas.

Mariano Núñez, un ingeniero de sistemas titulado por la Universidad Tecnológica Nacional (Argentina), llevaba 4 años trabajando como consultor en varios campos de seguridad informática cuando se convirtió en este hacker.

"Me asignaron revisar la seguridad de una aplicación web que se ejecutaba en un sistema SAP y comencé a detectar vulnerabilidades que no eran errores propios del código del cliente sino de la plataforma que se usaba como base", explica el joven.

Este tipo de plataformas, creadas por la compañía alemana SAP –líder del mercado de software empresarial- permite a empresas o gobiernos realizar todo tipo de funciones de gestión y logística a través de un sistema llamado ERP (del inglés, Enterprise Resource Planning), que funciona asociado a una base de datos y a otras aplicaciones.

Nadie parecía haber reparado en las debilidades de los sistemas SAP hasta que Núñez empezó a ponerlos a prueba. Formados por una serie de capas -en las que comprometer la seguridad de una puede hacer caer las demás como fichas de dominó-  su defensa había sido enfocada siempre de forma parcial. “SAP invertía dinero en asegurar qué podían hacer los usuarios válidos del sistema, pero la seguridad técnica de la plataforma había sido ignorada”, comenta Núñez.

Tal y como explica Lorenzo Martínez, consultor y técnico de la compañía de soluciones de seguridad de redes Swivel, la seguridad es un proceso en el que “hay que saber ser llave para poder ser candado”. Por ello, para determinar hasta qué punto eran vulnerables los sistemas SAP y poder encontrar una solución a su medida, Núñez creó un programa de testeo de aplicaciones con el que demostró cómo un atacante que ni siquiera tuviera un usuario en el sistema podía acceder y manejar información crítica.

Con solo 21 años, convertido ya en un experto en seguridad SAP, Núñez fue invitado a la conferencia Black Hat Europe para presentar sus trabajos sobre detección de este tipo de amenazas. Dos años después, en 2009, lanzaba su empresa, Onapsis, a través de la cual comercializó el primer software que permitía automatizar pruebas de seguridad sobre la plataforma SAP NetWeaver, la base de prácticamente todas las soluciones de SAP (entre ellas, el ERP).

Tal y como explica Martínez, los productos ideados por este joven innovador son soluciones adecuadas para “una herramienta utilizada por todas las empresas del Fortune 500” [índice de las 500 mayores empresas estadounidenses que elabora cada año la revista Fortune]. No obstante, su tecnología no sirve solo para testear los ERP diseñados por el gigante alemán sino que puede incorporar módulos para comprobar la seguridad en sistemas de otros proveedores. Según Núñez, en 2013 lanzarán módulos para proteger sistemas ERP de Oracle como E-Business Suite y PeopleSoft.

Hoy en día, su tecnología –para la que ha solicitado una patente mundial- es la única certificada oficialmente por SAP y, tal y como indica Núñez, “se encuentra en producción en organismos como Westinghouse, Siemens o AXA Group”, entre otros.

El TR35 continua perfeccionando sus soluciones para encontrar vulnerabilidades, pero sus últimos desarrollos van un paso más allá. En julio de este año lanzó Onapsis IPS (del inglés, Intrusion Prevention System), un software para prevenir ataques a sistemas ERP complementario a sus productos anteriores, que realiza “análisis proactivos de seguridad” y permite detectar y frenar ataques antes de que impacten en los ERP vulnerables.

Para el joven TR35, el mayor impacto social de su innovación es que permitirá minimizar la probabilidad de éxito en los ciberataques a sistemas esenciales en la vida cotidiana de millones de personas, “como un sabotaje contra un país o las principales empresas y organismos del mismo”, ejemplifica.

En opinión de Carlos Viniegra, director de la Unidad de Gobierno Digital en la Secretaría de la Función Pública de México DF y miembro del jurado de los premios TR35 Argentina, Núñez destaca por su capacidad para “tener impacto internacional en una arena altamente especializada". - Elena Zafra

Ganadores de Innovadores menores de 35 Argentina 2012

Krikor Attarian

Análisis de vídeos para mejorar el rendimiento de equipos de fútbol

Ignacio López

Videoconferencias en línea para zonas con pocos recursos

Mariano Nuñez

Sistema líder para la protección de software empresarial

Leandro Matías Rzezak

Tecnología innovadora para la provisión masiva de la nueva Internet

Para comentar, por favor accede a tu cuenta o regístrate

¿Olvidaste tu contraseña?

Advertisement
Advertisement
Publicidad