¿Qué riesgos tecnológicos presentan las fusiones o adquisiciones?

El número de fusiones y adquisiciones (M&A, por sus siglas en inglés) no para de crecer. Según los datos del último informe trimestral de TTR, durante los nuevos primeros meses de 2021 se produjeron 1.951 transacciones de M&A en España, un 22% más que en el mismo periodo del año anterior. El sector tecnológico fue el segundo que más operaciones registró (379 transacciones, +31% interanual), pero muy cerca del sector inmobiliario (382 operaciones).

La realización de una due diligence financiera es imprescindible ante operaciones de este tipo, con el fin de evaluar la situación de los activos económicos y financieros de las empresas implicadas. Sin embargo, las compañías también deben afrontar un proceso de auditoría que analice los posibles riesgos tecnológicos.

Uno de los mayores riesgos tecnológicos a los que se enfrentan las compañías involucradas en estas transacciones son las ciberamenazas. Según explica Vaultinum, empresa especializada en la protección de activos digitales, las operaciones de M&A son terreno fértil para los ciberdelincuentes, ya que ofrecen oportunidades a corto y largo plazo.

“A corto plazo, con las operaciones empresariales en transición, los datos son más vulnerables y corren un mayor riesgo de ser atacados. A largo plazo, las operaciones de M&A constituyen una excelente oportunidad para infiltrarse en las redes de la empresa fusionada o adquirida”, detalla la compañía. De este modo, recomienda llevar a cabo una due diligence del software en la fase previa a la adquisición para revelar posibles vulnerabilidades.

Además, advierte que “adquirir o fusionarse con una empresa que tiene vulnerabilidades de datos ocultos puede afectar las operaciones de negocio, las relaciones con los inversores y la reputación de la empresa principal”. Por ejemplo, recuerda que durante las negociaciones para la fusión de Verizon y Yahoo, en 2017, se reveló que la segunda había sufrido dos importantes brechas de datos. Verizon siguió adelante con la operación, pero el precio de compra se redujo en 350 millones de dólares y aceptó compartir la responsabilidad legal por estas brechas de datos.

Vaultinum hace hincapié en que las brechas de ciberseguridad comportan un triple riesgo: interrupción del negocio, robo de datos y una posible petición de rescate. Y todos ellos suponen consecuencias financieras y de reputación. Además, en caso de sufrir una exfiltración de datos personales, la compañía afectada podría tener que afrontar una cuantiosa sanción si no cumple con las exigencias del RGPD.

Así pues, recomienda realizar una due diligence tecnológica que ayude a identificar si la empresa cuenta con las medidas adecuadas para protegerse y que desvele posibles riesgos tecnológicos o puntos débiles de los activos digitales.

Por último, Vaultinum aconseja evaluar los riesgos del software de código abierto (OSS), sobre todo en las operaciones de M&A en la que el software de la empresa objetivo sea un activo importante de la operación. “Los desarrolladores de software a menudo confían en los repositorios de código público disponibles en sitios web como GitHub o Stack Exchange. Sin embargo, es posible que no tengan en cuenta el hecho de que las licencias de OSS se ofrecen a menudo sujetas a restricciones condicionales. Al utilizar el OSS para crear productos derivados o vincular el código fuente al OSS, los desarrolladores quedan sujetos a estas restricciones condicionales, que pueden incluir la publicación de toda o parte del código o el pago de una cuota por su uso”, especifica la compañía.

“Después de que el adquirente y la empresa objetivo se conviertan en una sola entidad, ya sea mediante la fusión o la adquisición, el adquirente pasa a ser responsable del uso anterior del OSS por parte de la empresa objetivo, así como de las condiciones relativas a su licencia. Los costes legales y financieros de no llevar a cabo una due diligence completa del software son claros en este caso: si los adquirentes llevan a cabo una due diligence exhaustiva en la fase previa a la adquisición y descubren cualquier OSS incrustado en el software de la empresa objetivo, pueden abandonar el acuerdo por completo o, como mínimo, reducir su valor y/o sus condiciones”, subraya Vaultinum.