CodigoNext.
Seguridad

Seguridad de ERPNext: guía para producción real

ERPNext mal configurado es vulnerable, igual que cualquier ERP. Bien configurado y mantenido es una plataforma sólida con 2FA, SSO, RBAC granular, audit log, RGPD compatible y copia de seguridad nativa. Esta guía explica las piezas que tienes que cuidar para una instalación productiva real.

Carlos Martínez·Director Técnico
6 de mayo de 2026
11 min de lectura

¿Es seguro ERPNext?

ERPNext es razonablemente seguro de partida: usa hashing bcrypt para contraseñas, soporta 2FA y SSO, tiene CSRF tokens, sanitiza salidas, mantiene separación de roles y permisos granulares, y se beneficia de la práctica de seguridad de Frappe Technologies (el equipo del producto). Pero como cualquier ERP, el nivel de seguridad real depende de cómo se despliega y se mantiene en producción: un ERPNext mal configurado expuesto en Internet es vulnerable, igual que SAP, Oracle o cualquier otro ERP mal configurado.

Los tres pilares de la seguridad ERPNext

1. Hardening de servidor y aplicación

Configuración segura del sistema operativo, Nginx, MariaDB, Redis y Bench. Cierre de puertos innecesarios, fail2ban, certbot, headers HTTP de seguridad y separación de roles.

[Lee la guía dedicada de hardening ERPNext →](/recursos/hardening-erpnext-produccion/)

2. Cumplimiento RGPD

Registro de actividades de tratamiento, derechos ARSULIPO (acceso, rectificación, supresión...), borrado seguro, cifrado en reposo, gestión de consentimientos y DPA con tu hosting.

[Lee la guía dedicada de RGPD en ERPNext →](/recursos/rgpd-erpnext-cumplimiento/)

3. OWASP Top 10 aplicado

Inyección, autenticación rota, exposición de datos, XSS, CSRF, deserialización... cómo se mitiga cada vector en una instalación ERPNext y qué configuraciones revisar.

[Lee la guía dedicada de OWASP en ERPNext →](/recursos/owasp-top-10-erpnext/)

Checklist práctico de seguridad ERPNext en producción

Servidor y red

  • Sistema operativo actualizado (kernel, OpenSSL, librerías).
  • Firewall con solo puertos imprescindibles abiertos (80, 443, SSH no estándar).
  • Fail2ban activo en SSH y Nginx.
  • SSH solo con clave (sin password); 2FA si SSO no aplica.
  • Backups offsite cifrados con rotación.

Base de datos y caché

  • MariaDB sin acceso desde Internet.
  • Usuario MariaDB sin permisos de superadmin para Frappe site.
  • Redis bind solo a localhost o socket Unix.
  • Cifrado at-rest si el cumplimiento lo exige.
  • Backups MariaDB diarios + binlog para PITR.

Aplicación Frappe/ERPNext

  • TLS 1.2+ con HSTS y OCSP stapling.
  • Headers de seguridad (CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy).
  • 2FA obligatorio para roles privilegiados.
  • SSO via SAML/OAuth2 si la organización lo usa.
  • Política de contraseñas y rotación.
  • Auditoría de cambios (Activity Log activado).

RGPD y cumplimiento

  • Registro de tratamientos publicado.
  • Política de privacidad y aviso legal actualizados.
  • DPA firmado con el proveedor de hosting.
  • Procedimiento de derechos ARSULIPO documentado.
  • Borrado seguro de datos personales tras retención legal.
  • DPO o responsable de protección designado.

Lo que muchas empresas se saltan (y luego pagan caro)

Backups que nunca se han probado

Tener backups y no probar el restore es lo mismo que no tener backups. La gran mayoría de empresas con incidente grave descubre el problema en el momento crítico: el backup estaba corrupto, faltaba un archivo, la base de datos no levantaba. Una prueba de restore mensual elimina el 95 % de estos sustos.

Roles administrativos repartidos sin control

Es habitual que en una pyme media haya 8-10 usuarios con rol System Manager (el equivalente a admin en Linux). Eso es exactamente lo contrario de lo que pide el principio de mínimo privilegio. Auditamos roles cada trimestre y eliminamos accesos administrativos innecesarios.

App custom sin code review de seguridad

Las apps Frappe a medida pueden introducir vulnerabilidades (SQL injection si se usa frappe.db.sql sin parámetros, XSS si se renderiza HTML sin escapar, deserialización insegura). Toda app custom que llega a producción debe pasar por un code review específico de seguridad además del funcional.

ERPNext y RGPD: ¿cumple por sí solo?

No, y ningún software lo hace por sí solo. ERPNext aporta las piezas técnicas necesarias para el cumplimiento: control de accesos por rol, audit log, exportación de datos por usuario, borrado lógico/físico, cifrado HTTPS, política de contraseñas, 2FA. El cumplimiento real depende de cómo lo uses, qué procedimientos documentes y cómo gestiones derechos y brechas. Lo que aporta ERPNext + un buen partner es la pieza técnica + el acompañamiento práctico para cerrar el cumplimiento.

CVEs históricas y mantenimiento

El equipo de Frappe Technologies publica advisories de seguridad cuando se detectan vulnerabilidades, con patches en las versiones soportadas. La política de mantenimiento estándar incluye:

  • Actualización a la última versión menor de la rama LTS al menos cada trimestre.
  • Revisión de los advisories de seguridad cada mes.
  • Aplicación inmediata de parches críticos.
  • Pruebas en entorno de staging antes de pasar a producción.

SSO y 2FA

ERPNext soporta SSO con OAuth2 y SAML 2.0. Integramos con Microsoft Entra ID (antes Azure AD), Google Workspace, Okta, Auth0, Keycloak y otros IdPs corporativos. La configuración incluye mapeo de atributos, asignación de roles y SLO (Single Logout) cuando el IdP lo soporta.

ERPNext también permite configurar 2FA por usuario (TOTP, email, SMS) o forzarlo por rol. Recomendamos 2FA obligatorio para todos los roles administrativos y usuarios con acceso a datos personales o financieros.

Conclusión

La seguridad de ERPNext en producción es una mezcla de buena configuración del producto, buena configuración del entorno y procedimientos organizativos. Ningún ERP es seguro "de fábrica" si no se cuidan estas capas. ¿Quieres una auditoría de tu instalación? [Contáctanos](/contacto) y la planeamos.

Sigue leyendo

También te puede interesar

Seguridad10 min

Hardening de ERPNext y Frappe Bench: checklist por capas

Sistema operativo, red, Nginx, MariaDB, Redis, Bench y aplicación. La seguridad real de ERPNext en producción depende de las capas que la rodean tanto como del propio producto. Este es el orden en que las endurecemos en proyectos reales, con ejemplos concretos de configuración.

6 de mayo de 2026Leer
Seguridad9 min

ERPNext y RGPD: cumplimiento práctico paso a paso

El RGPD no se cumple sólo con un producto. Esta guía explica las piezas técnicas y procedimentales que tu empresa debe cubrir para que su instalación de ERPNext cumpla en serio: registro de tratamientos, derechos ARSULIPO, DPA con hosting, borrado seguro y plan de respuesta a brechas.

6 de mayo de 2026Leer
Seguridad10 min

OWASP Top 10 aplicado a ERPNext y Frappe Framework

Cómo se mitiga cada vector del OWASP Top 10 en una instalación ERPNext real, qué hace el producto por defecto y qué tienes que asegurar tú o tu partner. Guía técnica para CTOs y equipos de seguridad que tienen ERPNext en producción.

6 de mayo de 2026Leer
Ver todos los recursos
Empezar · Respuesta en 24h

¿Tienes dudas sobre ERPNext?

Contacta con nosotros para una consulta gratuita. Te ayudamos a evaluar si ERPNext es la solución adecuada para tu empresa.

Demo personalizada
Sin compromiso
Equipo en España