La consultora tecnológica SEIDOR ha presentado el informe SEIDOR Report: Ciberseguridad en SAP 2026, un estudio que revela que el 88% de las empresas usuarias de SAP están desprotegidas ante las nuevas amenazas sobre el ERP, el sistema mediante el cual se gestionan procesos críticos como pagos, proveedores, pedidos, precios, información financiera o datos de clientes y productos.
Esta desprotección no se explica por una falta de vigilancia. De hecho, el 90% de las organizaciones analizadas afirma vigilar su entorno SAP de forma permanente. La brecha aparece en otro punto: solo el 12% declara capacidad para detectar a tiempo fraudes o manipulaciones cuando esas amenazas se presentan como una actividad aparentemente legítima dentro del propio ERP, en lugar de como un ataque evidente.
El informe, realizado en el segundo trimestre de 2026, recoge las respuestas de responsables de tecnología, ciberseguridad y riesgo de medio centenar de organizaciones españolas usuarias de SAP con una facturación superior a 100 millones de euros. Elaborado con el apoyo de Microsoft, el estudio analiza hasta qué punto las empresas están preparadas para una nueva tipología de riesgos, menos visible que los ataques tradicionales.
Índice de temas
La identidad digital, punto crítico de protección
Las nuevas amenazas sobre SAP se diferencian por su capacidad para actuar dentro de la operativa diaria. Pueden apoyarse en usuarios aparentemente válidos, permisos existentes, cambios en datos críticos o peticiones que parecen proceder de una identidad legítima. Por eso, el riesgo ya no se limita a accesos no autorizados o acciones bloqueadas por el sistema, sino que puede aparecer en operaciones permitidas que no responden al contexto del negocio.
Esta dificultad aumenta con la inteligencia artificial ofensiva. Según el estudio, el 66% de las organizaciones percibe la IA ofensiva como un riesgo relevante o muy importante para su entorno SAP, por su capacidad para hacer más verosímiles los intentos de suplantación, fraude o manipulación. En este escenario, la defensa del ERP exige reforzar la gobernanza de la identidad digital: quién accede, con qué permisos, qué operación ejecuta y si esa acción tiene sentido dentro del contexto de negocio.
Rubén Mora, CISO de SEIDOR, ha señalado que “la frontera del riesgo se ha desplazado hacia lo que una identidad aparentemente legítima puede hacer dentro del ERP. Con la IA, una solicitud, una suplantación o una manipulación pueden resultar más creíbles. Por eso, proteger SAP exige gobernar mejor la identidad digital, los privilegios y el contexto de cada operación”.
La detección exige conectar varias señales del ERP
SAP concentra procesos especialmente sensibles para cualquier organización. Un cambio en la cuenta bancaria de un proveedor, una modificación de precios, una aprobación de pago o una descarga de información pueden parecer operaciones correctas si se analizan de forma aislada.
La anomalía se identifica cuando esas acciones aparentemente inconexas se conectan entre sí. Un usuario que accede correctamente al sistema, un permiso que ya existía, un cambio en datos de proveedor y una aprobación posterior pueden no levantar sospechas por separado. Leídas en conjunto, esas señales pueden revelar un patrón de fraude, manipulación de datos, fuga de información o impacto operativo.
Por eso, la protección del ERP ya no puede depender solo de alertas individuales. Las empresas necesitan una lectura más completa de la identidad, los privilegios y la actividad dentro de SAP: quién accede, qué permiso utiliza, qué dato modifica, qué operación ejecuta y en qué momento lo hace.
El 74% aumentará su inversión en seguridad SAP
El estudio también señala que el 74% de las organizaciones aumentará su inversión en ciberseguridad SAP en los próximos 12 meses. Para SEIDOR, este dato confirma que las empresas son conscientes del riesgo. El reto, sin embargo, está en dirigir bien esa inversión: aumentar el presupuesto no garantiza por sí solo una mayor protección si no se orienta a las capacidades adecuadas.
La compañía señala como prioridades reforzar el control sobre la identidad digital y los privilegios, conectar la información de SAP con la seguridad general de la empresa, detectar patrones concretos de fraude o manipulación y poder reconstruir un incidente con evidencias claras. En un contexto en el que tres de cada cuatro organizaciones operan su seguridad SAP con apoyo externo total o parcial, la calidad del partner tecnológico se convierte también en una parte estructural de la defensa.
La seguridad SAP es una cuestión de negocio
Para SEIDOR, la ciberseguridad SAP ha dejado de ser un asunto exclusivamente técnico. Afecta directamente a la continuidad de las operaciones, la fiabilidad de los datos, la relación con proveedores, la seguridad de la información y la capacidad de respuesta de la compañía ante un incidente.
Hoy es determinante saber si las compañías cuentan con la capacidad necesaria para gobernar la identidad digital dentro del ERP, anticipar riesgos, responder con rapidez y explicar con evidencias qué ha ocurrido. Esa será la diferencia entre tener visibilidad sobre SAP y estar realmente protegido frente a riesgos que pueden comprometer procesos críticos del negocio.
