seguridad tic
seguridad tic

Vaultinum ha dado a conocer 3 vulnerabilidades que afectan a las transacciones de fusiones y adquisiciones (M&A) y su solución, las cuales en España, aumentaron un 22% hasta septiembre, así como el crecimiento del sector tecnológico en todo el mundo.

Esto tiene consecuencias significativas en términos de los posibles riesgos que se plantean tanto para el adquirente como para la empresa objetivo. Por ello, llevar a cabo una due diligence exhaustiva es esencial durante la fase de preadquisición, para evitar los problemas asociados a las brechas de datos y a las licencias de software.

Los avances actuales en tecnología de IA permiten que las auditorías sean exhaustivas, analizando cada línea de código para identificar posibles problemas de vulnerabilidades del software y los datos.

3 riesgos en las fusiones y adquisiciones tecnológicas

Ya es una práctica común aplicar la due diligence financiera, evaluando que el activo es financieramente escalable, entre otros factores. Sin embargo, varias empresas siguen sin revisar cuidadosamente el código fuente de un software.

Esto es problemático, ya que significa que los inversores entran a ciegas en una inversión, debido a los posibles riesgos tecnológicos asociados al código fuente, como los riesgos de ciberseguridad y las licencias de código abierto.

A continuación, se incluye una lista de los principales riesgos a los que podrían enfrentarse las empresas.

  • Ciberamenazas. Las operaciones de M&A son un terreno fértil para los ciberdelincuentes, ya que les ofrecen oportunidades a corto y largo plazo. A corto plazo, con las operaciones empresariales en transición, los datos son más vulnerables y corren un mayor riesgo de ser atacados. A largo plazo, las operaciones de M&A constituyen una excelente oportunidad para infiltrarse en las redes de la empresa fusionada o adquirida. Sorprendentemente, más del 50% de las empresas participantes en el estudio de IBM esperan a que se complete la due diligence antes de realizar cualquier evaluación tecnológica de las transacciones de M&A. Las ciberamenazas a las que se enfrentan estos acuerdos ponen de manifiesto la importancia de llevar a cabo la due diligence del software en la fase previa a la adquisición para revelar las vulnerabilidades.
  • Fugas de datos y vulnerabilidades. Adquirir o fusionarse con una empresa secundaria que tiene vulnerabilidades de datos ocultos puede afectar las operaciones de negocio, las relaciones con los inversores y la reputación de la empresa principal. El ejemplo más conocido de esto ocurrió en 2017, cuando Verizon reveló una brecha de datos que se produjo en Yahoo! Durante las negociaciones de la fusión, se reveló que Yahoo! había sufrido una brecha de datos durante la cual un hacker robó los datos personales de al menos 500 millones de usuarios, seguida de una segunda brecha de datos en la que se comprometieron 1.000 millones de cuentas y se robó la información personal y las credenciales de inicio de sesión de los usuarios. En este caso, Verizon decidió seguir adelante con el acuerdo, pero no fue sin consecuencias.

Mejorar la due diligence de vulnerabilidades tecnológicas previa a la adquisición es esencial para las organizaciones que llevan a cabo actividades de fusiones y adquisiciones

El precio de compra se redujo en 350 millones de dólares y Verizon aceptó compartir la responsabilidad legal por estas brechas de datos. Además, si esta violación de datos no se hubiera revelado durante las negociaciones, Verizon podría haber pagado de más por Yahoo!, además de sufrir daños legales y de reputación a largo plazo. En cambio, ambas empresas comprendieron y asumieron las responsabilidades antes de llegar a un acuerdo. Las brechas de ciberseguridad suponen, en efecto, varios riesgos para la empresa. Entre ellos: 1) una petición de rescate; 2) una interrupción del negocio; 3) el robo de datos y especialmente de datos personales que pone a la empresa en riesgo en relación con el cumplimiento del Reglamento General de Protección de Datos (GDPR). En los tres casos hay consecuencias financieras y de reputación asociadas a las brechas de ciberseguridad, pero en el tercer caso, si el director general de la empresa no informa a los organismos nacionales sobre el robo de datos personales y no ha tomado las medidas adecuadas para proteger a la organización contra los ciberdelitos, se le puede pedir que pague una multa y es legalmente responsable, enfrentándose al riesgo de ir a juicio. Lo que hace la due diligence tecnológica es identificar si una empresa cuenta con las medidas adecuadas para protegerse, poniendo de manifiesto los riesgos o puntos débiles de los activos digitales.

  • Riesgos del OSS. Para cualquier actividad de M&A en la que el software de la empresa objetivo sea un activo importante de la operación, los problemas no terminan con las vulnerabilidades de datos ocultas. Hoy en día, los desarrolladores de software a menudo confían en los repositorios de código público disponibles en sitios web como GitHub o Stack Exchange, ya que el software de código abierto (OSS) tiene una serie de beneficios significativos, sobre todo que parece ser gratuito en el punto de uso. Sin embargo, es posible que no tengan en cuenta el hecho de que las licencias de OSS se ofrecen a menudo sujetas a restricciones condicionales. Al utilizar el OSS para crear productos derivados o vincular el código fuente al OSS, los desarrolladores quedan sujetos a estas restricciones condicionales, que pueden incluir la publicación de toda o parte del código o el pago de una cuota por su uso. Después de que el adquirente y la empresa objetivo se conviertan en una sola entidad, ya sea mediante la fusión o la adquisición, el adquirente pasa a ser responsable del uso anterior del OSS por parte de la empresa objetivo, así como de las condiciones relativas a su licencia. Los costes legales y financieros de no llevar a cabo una due diligence completa del software son claros en este caso: si los adquirentes llevan a cabo una due diligence exhaustiva en la fase previa a la adquisición y descubren cualquier OSS incrustado en el software de la empresa objetivo, pueden abandonar el acuerdo por completo o, como mínimo, reducir su valor y/o sus condiciones.

 

 

>