¿Qué riesgos tecnológicos hay que considerar antes de una operación de fusión y adquisición?

Recomendados:  Nuevas reglas de seguridad para aplicaciones web y API Leer Identificación de ataques web Leer

El número de fusiones y adquisiciones (M&A) en España aumentó un 22% hasta septiembre de 2021, según TTR. Durante la integración de las compañías, pueden producirse violaciones de datos, que podrían reducirse con una evaluación previa de los activos para poder protegerlos.

Vaultinum, especialista en este campo, ha identificado los riesgos asociados a este tipo de transacciones, centrándose en las operaciones que se producen entre tecnológicas. Son los tres siguientes:

1 - Ciberamenazas
Las operaciones de M&A son un terreno fértil para los ciberdelincuentes, ya que les ofrecen oportunidades a corto y largo plazo. A corto plazo, con las operaciones empresariales en transición, los datos son más vulnerables y corren un mayor riesgo de ser atacados. A largo plazo, estas transacciones constituyen una excelente oportunidad para infiltrarse en las redes de la empresa fusionada o adquirida.

Sorprendentemente, más del 50% de las empresas participantes en un estudio de IBM esperan a que se complete la ‘due diligence’ financiera antes de realizar cualquier evaluación tecnológica de las transacciones de M&A. Las ciberamenazas a las que se enfrentan estos acuerdos ponen de manifiesto la importancia de llevar a cabo la auditoría del software en la fase previa a la adquisición para revelar las vulnerabilidades.

2 - Fugas de datos y vulnerabilidades
Adquirir o fusionarse con otra empresa empresa que tiene vulnerabilidades de datos ocultos puede afectar las operaciones de negocio, las relaciones con los inversores y la reputación de la empresa principal.

Para ilustrar esto, la firma recurre a lo sucedido en 2017, cuando Verizon reveló una brecha de datos que se produjo en Yahoo!. Durante las negociaciones de la fusión, se descubrió que Yahoo! había sufrido una brecha de datos durante la cual un hacker robó los datos personales de al menos 500 millones de usuarios, seguida de una segunda brecha de datos en la que se comprometieron 1.000 millones de cuentas y se robó la información personal y las credenciales de inicio de sesión de los usuarios. En este caso, Verizon decidió seguir adelante con el acuerdo, pero no fue sin consecuencias. El precio de compra se redujo en 350 millones de dólares y Verizon aceptó compartir la responsabilidad legal por estas brechas de datos. Además, si esta violación de datos no se hubiera revelado durante las negociaciones, Verizon podría haber pagado de más por Yahoo!, además de sufrir daños legales y de reputación a largo plazo. En cambio, ambas empresas comprendieron y asumieron las responsabilidades antes de llegar a un acuerdo.

Las brechas de ciberseguridad implican, en efecto, graves consecuencias, como una petición de rescate; una interrupción del negocio o el robo de datos En los tres casos, como explica Vaultinum, hay consecuencias financieras y de reputación asociadas a las brechas de ciberseguridad, pero en el tercer caso, si el director general de la empresa no informa a los organismos nacionales sobre el robo de datos personales y no ha tomado las medidas adecuadas para proteger a la organización contra los ciberdelitos, se le puede pedir que pague una multa y es legalmente responsable, enfrentándose al riesgo de ir a juicio. 

Lo que hace la auditoría o ‘due diligence’ tecnológica es identificar si una empresa cuenta con las medidas adecuadas para protegerse, poniendo de manifiesto los riesgos o puntos débiles de los activos digitales.

3 - Riesgos del OSS
Para cualquier actividad de M&A en la que el software de la empresa objetivo sea un activo importante de la operación, los problemas no terminan con las vulnerabilidades de datos ocultas. Hoy en día, los desarrolladores de software a menudo confían en los repositorios de código público disponibles en sitios web como GitHub o Stack Exchange, ya que el software de código abierto (OSS) tiene una serie de beneficios significativos, sobre todo que parece ser gratuito en el punto de uso.

Sin embargo, es posible que no tengan en cuenta el hecho de que las licencias de OSS se ofrecen a menudo sujetas a restricciones condicionales. Al utilizar el OSS para crear productos derivados o vincular el código fuente al OSS, los desarrolladores quedan sujetos a estas restricciones condicionales, que pueden incluir la publicación de toda o parte del código o el pago de una cuota por su uso.

Después de que la empresa compradora y la compañía objetivo se conviertan en una sola entidad, ya sea mediante la fusión o la adquisición, la primera pasa a ser responsable del uso anterior del OSS por parte de la empresa objetivo, así como de las condiciones relativas a su licencia. Los costes legales y financieros de no llevar a cabo una due diligence completa del software son claros en este caso: si los compradores la llevan a cabo en la fase previa a la adquisición y descubren cualquier OSS integrado en el software de la empresa objetivo, pueden abandonar el acuerdo por completo o, como mínimo, reducir su valor o cambiar las condiciones.