Alerta de ciberseguridad: Fallas críticas en SAP, Adobe, Microsoft y Fortinet exponen a usuarios a graves riesgos

Este mes, múltiples vulnerabilidades críticas han sido descubiertas en productos de SAP, Adobe, Microsoft y Fortinet, lo que podría poner en riesgo a empresas y usuarios. Estas fallas, reveladas en el "Patch Tuesday" de abril, podrían permitir a atacantes ejecutar código malicioso, robar información sensible y hasta interrumpir operaciones empresariales.

Vulnerabilidad crítica en SAP

Una de las vulnerabilidades más graves afecta a SAP Business Planning and Consolidation (BPC) y SAP Business Warehouse (BW) (CVE-2026-27681). Se trata de una vulnerabilidad de inyección SQL (un tipo de ataque que permite a los atacantes insertar comandos maliciosos en una base de datos) con una puntuación de gravedad de 9.9 sobre 10. Un atacante con pocos privilegios podría subir un archivo con comandos SQL arbitrarios que se ejecutarían en el sistema.

• Riesgo: Un atacante podría ejecutar comandos SQL maliciosos contra los almacenes de datos BW/BPC.
• Impacto: Esto podría permitir la extracción de datos confidenciales, la eliminación o corrupción de contenido de la base de datos.
• Consecuencias: Manipulación de cifras de planificación, informes incorrectos o eliminación de datos de consolidación, afectando procesos de negocio críticos.

Adobe Acrobat Reader bajo ataque

Otra vulnerabilidad importante es un fallo de ejecución remota de código (RCE) en Adobe Acrobat Reader (CVE-2026-34621), con una puntuación de 8.6. Lo preocupante es que esta vulnerabilidad ya está siendo explotada activamente, aunque aún se desconoce el alcance total del ataque, quiénes están detrás y cuáles son sus motivaciones.

Además, Adobe ha parcheado cinco vulnerabilidades críticas en ColdFusion versiones 2025 y 2023. Estas fallas podrían permitir la ejecución de código arbitrario, la denegación de servicio de la aplicación, la lectura arbitraria de archivos del sistema y la omisión de funciones de seguridad.

Vulnerabilidades en Fortinet y Microsoft

Fortinet también ha corregido dos vulnerabilidades críticas en FortiSandbox que podrían resultar en la omisión de la autenticación y la ejecución de código (CVE-2026-39813 y CVE-2026-39808).

Por su parte, Microsoft abordó 169 defectos de seguridad, incluyendo una vulnerabilidad de suplantación de identidad (spoofing) que afecta a Microsoft SharePoint Server (CVE-2026-32201). Esta última está siendo explotada activamente, permitiendo a un atacante ver información sensible. Según Kev Breen, de Immersive, los servicios de SharePoint, especialmente aquellos utilizados como almacenes internos de documentos, pueden ser un tesoro para los actores de amenazas que buscan robar datos.

Qué significa esto para ti

Es crucial que tanto usuarios como empresas apliquen los parches de seguridad lo antes posible. Ignorar estas actualizaciones podría dejar los sistemas vulnerables a ataques, con graves consecuencias como la pérdida de datos, interrupción de servicios y daños a la reputación. Mantener el software actualizado es una de las medidas de seguridad más importantes y efectivas.