Ciberseguridad

El aumento combinado de las fusiones y adquisiciones y el riesgo cibernético crea un entorno incierto para los inversores

Las organizaciones que llevan a cabo fusiones y adquisiciones deben mejorar la 'due diligence' sobre las vulnerabilidades de software antes de la adquisición.

Tecnologia_puzzle

 

En la actualidad, las economías más desarrolladas del entorno europeo están experimentando un fuerte aumento de las fusiones y adquisiciones (M&A, por sus siglas en inglés). Esta tendencia va a continuar, ya que son muchos los ejecutivos que no dudan en declarar que sus empresas tienen la intención de realizar operaciones de M&A en los próximos 12 meses, y en no pocos casos centradas en adquisiciones transfronterizas, según EY. De este modo, las empresas han dado un claro voto de confianza para seguir adelante con las M&A, convirtiéndolas en el punto central para acelerar el crecimiento y el desarrollo de la organización.

En este contexto, si bien las compañías españolas han estado condicionadas por el impacto de la pandemia de la COVID-19 en sus negocios y la economía en general, lo cierto es que el mercado transaccional español, aunque registró un descenso del 22% en el número de operaciones en 2020 con respecto a 2019, obtuvo un valor un 37% superior. En total se contabilizaron 2.210 M&A el pasado año por un importe agregado que superó los 10.000 millones de euros, según datos de TTR. En este sentido, tanto fondos como bancos de inversión comenzaron 2021 con un gran número de operaciones pendientes de resolución sobre su mesa, las cuales podrían superar los 17.000 millones de euros, además de la posible dinamización del mercado con la llegada de los fondos europeos.

Tradicionalmente, las organizaciones y los inversores han llevado a cabo una due diligence que abarca los aspectos financieros, jurídicos, operativos y de recursos humanos. La due diligence integral en materia de software no siempre se lleva a cabo de forma sistemática, lo que tiene importantes consecuencias negativas dado que la tecnología de una empresa es cada vez más su principal activo. A medida que las organizaciones no tecnológicas utilizan cada vez más la tecnología para sus operaciones cotidianas y a medida que crece el número de empresas tecnológicas, han surgido nuevas cuestiones que se pasan por alto en la due diligence tradicional.

 

Un momento crucial para la seguridad tecnológica

Las filtraciones de datos durante las M&A se han hecho tristemente célebres durante los últimos años, de forma que más de uno de cada tres ejecutivos encuestados por IBM informó de filtraciones de datos asociadas a la actividad de M&A durante el período de integración. Esta cifra podría aumentar, ya que las estadísticas destacan que los ciberataques están aumentando considerablemente en todos los países. Según algunos estudios, el 51% de las organizaciones se vieron afectadas por ataques de ransomware en 2020, y los delincuentes consiguieron cifrar los datos en el 73% de estos ataques. Los ciberdelincuentes se dirigen cada vez más a las organizaciones con ataques de ransomware con el objetivo final de interrumpir el negocio a gran escala. Llevar a cabo una due diligence exhaustiva e integral que evalúe tanto el software como el código fuente durante la fase de previa a la adquisición permite la identificación temprana de los riesgos de brechas de datos, proporcionando al adquirente una visión completa de las consecuencias financieras y legales en esta etapa de las negociaciones.

Adquirir o fusionarse con una empresa secundaria que tiene vulnerabilidades de datos ocultas puede afectar a las operaciones comerciales, las relaciones con los inversores y la reputación de la empresa principal. El ejemplo más conocido de esto ocurrió en 2017, cuando Verizon reveló una violación de datos previa a la fusión en Yahoo! Durante las negociaciones de la fusión, se reveló que Yahoo! había sufrido una filtración de datos durante la cual un hacker robó los datos personales de al menos 500 millones de usuarios, seguida de una segunda filtración de datos en la que se comprometieron mil millones de cuentas y se robó la información personal y las credenciales de inicio de sesión de los usuarios. En este caso, Verizon había hecho su due diligence y pudo tomar una decisión informada sobre cómo seguir adelante con el acuerdo. Si Verizon no hubiera llevado a cabo una due diligence técnica, y esta brecha de datos no se hubiera revelado durante las negociaciones, Verizon podría haber pagado de más por Yahoo!, además de sufrir daños legales y de reputación a largo plazo. En cambio, ambas empresas comprendieron las responsabilidades antes de llegar a un acuerdo.

Otras empresas no han tenido tanta suerte. En 2016, Marriott International compró Starwood Hotels& Resorts por 13.300 millones de dólares. Dos años después de la fusión, Marriot reveló una enorme brecha de datos en el sistema de reservas de Starwood que se produjo antes de la fusión en 2014, en la que 400 millones de registros de huéspedes quedaron expuestos a través de un fallo de seguridad. Esto dio lugar a una multa de 123 millones de dólares por parte de la Oficina del Comisionado de Información de Gran Bretaña, así como a daños en la reputación tanto de Marriott como de Starwood. Este es un ejemplo de un caso en el que la insuficiente due diligence en materia de software antes de la fusión tiene consecuencias catastróficas tanto para el adquirente como para la empresa objetivo más adelante.

La due diligence en materia de software pone de manifiesto los riesgos y puntos débiles de los activos digitales. Esto puede sacar a la luz problemas de seguridad de los datos, así como otras vulnerabilidades, como los riesgos de propiedad intelectual relacionados con el uso de licencias de software de código abierto (OSS) y las complicaciones de mantenimiento. Todos estos riesgos pueden afectar a la calidad general del activo y, por tanto, a su valor para el adquirente, por lo que es esencial descubrirlos mediante una due diligence exhaustiva en la fase previa a la adquisición.

 

Entender el software de código abierto (OSS)

Para cualquier actividad de M&A en la que el software de la empresa objetivo sea un activo importante de la operación, lo que ocurre ahora en la mayoría de las empresas emergentes que tienen IA o algoritmos en el centro de su oferta, los problemas no terminan con las vulnerabilidades de datos ocultas. Hoy en día, los desarrolladores de software a menudo confían en los repositorios de código público disponibles en sitios web como GitHub o Stack Exchange, ya que el OSS tiene una serie de beneficios importantes, sobre todo que parece ser gratuito en el punto de uso. Sin embargo, muchas licencias de OSS suelen ofrecerse sujetas a restricciones condicionales. Cuando se utiliza el OSS para crear productos derivados o se vincula el código fuente al OSS, el producto integrado pasa a estar sujeto a estas restricciones condicionadas, que pueden incluir hacer público todo o parte del código o pagar una cuota por su uso. En otras palabras, una empresa puede no tener todos los derechos sobre su producto o software.

Esto es problemático para cualquier empresa tecnológica en general, pero puede ser especialmente catastrófico durante las M&A. Si los compradores llevan a cabo una due diligence exhaustiva en la fase previa a la adquisición y descubren cualquier OSS integrado en el software de la empresa objetivo, pueden abandonar el acuerdo por completo o, como mínimo, ajustar su valor o sus condiciones. Si los compradores no llevan a cabo una due diligence exhaustiva se convierten en responsables del uso previo del OSS por parte de la empresa objetivo y de las condiciones relativas a su licencia.

 

Los algoritmos añaden solidez a las auditorías tecnológicas

Llevar a cabo una due diligence integral en materia de software es esencial durante la fase previa a la adquisición, para evitar los mencionados problemas asociados a las brechas de datos y a las licencias de software. Los avances actuales en tecnología de IA permiten que estas auditorías sean exhaustivas, analizando cada línea de código para identificar posibles cibervulnerabilidades, problemas de propiedad intelectual (normalmente vinculados al uso de código abierto) y riesgos de mantenimiento.  Estos métodos enriquecen la due diligence técnica tradicional, haciendo que las auditorías sean más objetivas y menos susceptibles al error humano.

En última instancia, este enfoque protege la reputación del adquirente, garantiza la continuidad del negocio y ayuda a evitar posibles responsabilidades legales por las vulnerabilidades anteriores del objetivo.

Artículo elaborado por Philippe Thomas, CEO de Vaultinum.

 

 



TE PUEDE INTERESAR...

Revista Digital

Contenido Destacado

Próximo Webinar

Partnerzones IDG

Cybersecurity Evolved

Registro IDG España:

Eventos IDG:

 

Especiales IDG:


Revistas Digitales IDG

ComputerWorld Digital

CSO España Digital

DealerWorld Digital

IDG Research

 

Ya disponible en IDG Research: