3 riesgos a tener en cuenta en los acuerdos M&A de alta tecnología
Según el Instituto de Fusiones, Adquisiciones y Alianzas (IMAA), los acuerdos de M&A de alta tecnología siguen ocupando el segundo lugar en el total de transacciones M&A desde 1985, con contratos totales valorados en casi 5 billones de dólares. El aumento continuo de la inversión y adquisición de alta tecnología ha puesto en relieve los riesgos inherentes de los presentes contratos, así como la necesidad de ampliar los procesos de diligencia debida para que incluyan auditorías de software completas y automatizadas.
En este artículo analizamos los 3 mayores riesgos a los que se enfrentan los inversores y adquirentes potenciales y que deben conocer antes de firmar los contratos, así como lo que pueden hacer para reducirlos.
Source: Thomson Financial, Institute for Mergers, Acquisitions and Alliances (IMAA) analysis.
1. Amenazas cibernéticas
Las transacciones M&A son un terreno fértil para los ciberdelincuentes, ya que les ofrecen oportunidades tanto a corto como a largo plazo.
A corto plazo, durante la transición de las operaciones comerciales, los datos son más vulnerables y corren un mayor riesgo de que los ataquen. Más de uno de cada tres ejecutivos encuestados por IBM informaron haber sufrido filtraciones de datos que podrían atribuirse a las actividades M&A durante su integración.
A largo plazo, las transacciones M&A brindan una excelente oportunidad de infiltrarse en las redes de la empresa sometida a fusión o adquisición, frecuentemente mediante el uso de Amenazas Persistentes Avanzadas o APTs, en un esfuerzo por tener acceso al entorno y a la información de la empresa objetivo durante un prolongado periodo de tiempo.
Sorprendentemente, más del 50 por ciento de las empresas encuestadas por IBM esperaron hasta que se completara la diligencia debida antes de realizar algún tipo de evaluación tecnológica de las M&A. Las amenazas cibernéticas a las que se enfrentan este tipo de acuerdos destacan la importancia de realizar la correspondiente diligencia debida del software en la fase previa a la adquisición para poder encontrar vulnerabilidades ocultas.
Además, en el último año se ha producido una intensificación notable de ataques de ransomware dirigidos a empresas medianas adquiridas por empresas de capital riesgo. Estas empresas presentan objetivos lucrativos debido a su considerable liquidez y, más importante, sus defensas de ciberseguridad tienden a ser menos robustas.
Este escenario plantea un riesgo cyber aún mayor, teniendo en cuenta el potencial de un efecto dominó dentro de la estructura corporativa. Los ciberatacantes suelen explotar las vulnerabilidades de estas empresas recién adquiridas y menos seguras como punto de entrada. Una vez dentro, pueden extender su alcance a las entidades matrices más seguras de la cartera. Esta vulnerabilidad interconectada subraya la necesidad crítica de medidas de ciberseguridad exhaustivas y proactivas en la fase previa a la integración.
2. Repercusiones legales
Aunque una empresa tenga seguridad cibernética de última generación, si se hace con otra empresa cuya seguridad sea débil o tenga vulnerabilidad, podría ser responsable de cualquier daño provocado durante incidentes ocurridos antes de la fusión, como se vio en la violación de datos del grupo hotelero Marriott.
Aunque la brecha de datos se descubrió en 2018, se llegó hasta una intrusión cibernética ocurrida en 2014 en Starwood, un grupo hotelero adquirido en 2016. Si Marriott hubiera realizado una diligencia debida del software durante la etapa previa a la adquisición, esta vulnerabilidad se podría haber descubierto y / o se podrían haber tomado medidas junto con una evaluación revisada. Además, adquirir una empresa que pueda tener vulnerabilidad puede suponer meter en casa al caballo de Troya.
Tanto en Europa como en EE UU y en el resto del mundo, la normativa referente a la privacidad de los datos y la divulgación obligatoria de la brecha varía de manera considerable, lo que convierte a la diligencia debida en un aspecto esencial para las empresas, sobre todo para las multinacionales. El grupo hotelero Marriot tuvo que enfrentarse a numerosas demandas y acciones normativas en múltiples jurisdicciones, además de a una multa de más de 130 millones de dólares solo en Reino Unido a causa de dicho problema.
La implementación de la RGPD en Europa ha provocado un aumento de notificaciones de quejas. Según la empresa legal Pinsent Manson, entre marzo de 2019 y mayo de 2020, las autoridades competentes en materia de protección de datos a nivel europeo impusieron un total de 190 multas relativas a la RGPD, con un valor de casi 500 millones de dólares. Otras multas destacables incluyen la impuesta a Google en Francia, por un importe de 57 millones de dólares, o la de 41 millones que tuvo que abonar H&M en Alemania.
En EE UU, las demandas por la brecha de datos van en aumento, con los bufetes de abogados y las empresas financieras buscando activamente cómo iniciar acciones legales, animadas por las recientes decisiones legales, como la sentencia por la brecha de datos de Capital One, en la que se utilizó un informe forense cibernético realizado tras una violación de datos para declarar la responsabilidad de la empresa. Dada la utilidad de estos informes y su necesidad para que una empresa comprenda lo que se hizo mal, esta sentencia significa que otros, como clientes o usuarios, pueden acceder a dicho informe para buscar la responsabilidad de las empresas en caso de brecha de datos.
3. Propiedad y adaptabilidad de la Propiedad Intelectual
La importancia de los derechos de Propiedad Intelectual en la evaluación general de las empresas cada vez tiene más reconocimiento a nivel mundial. En 1975, los activos intangibles de Propiedad Intelectual representan solo alrededor del 17% del valor de mercado de las empresas del S&P 500, pero en 2015 crecieron hasta alcanzar el 87% y, en un análisis sobre 2019, las industrias que utilizan este tipo de derechos de manera intensiva generan alrededor del 45% del PIB de la UE (unos 6,6 mil billones de euros).
Si va a adquirir o invertir en una empresa que comercializa con software, es esencial comprobar si en realidad es la propietaria del mismo. El software se está creando a un gran ritmo, pero raramente es 100% original. Cada vez es más común que el software comercial esté formado por fragmentos de código de otros programas.
Si bien el uso de código de terceros, independientemente de que se trate de código comercial o abierto, ahorra tiempo y reduce los costes, también puede crear problemas potenciales que pueden restringir la libertad de comercializar el producto final. Estas limitaciones pueden impedir que una empresa de software disfrute de todos los beneficios de sus propias creaciones. Además, el uso indebido o la dependencia excesiva del software de terceros puede ralentizar el crecimiento de una empresa o, incluso, llegar a amenazar su supervivencia.
Del mismo modo, incluso aunque la empresa objetivo no comercialice software, si se utiliza un software que contenga o integre software de terceros, podrían surgir problemas de adaptabilidad y mantenimiento. Dicho software se ofrece como programas descargables para máquinas o servicios o como un servicio alojado. Por lo general, las licencias se ceden a las empresas, en vez de venderlas. En otras palabras: las empresas confían en un software que alquilan, pero no poseen.
Esto tiene varias implicaciones que pueden contrarrestar las ventajas de utilizar el software en primer lugar.
1) Esto significa que se aplican restricciones de uso y distribución del software.
2) Crea dependencias entre la empresa y su proveedor de software, además de plantear la pregunta sobre qué ocurriría si el proveedor quebrara o cancelara el uso de su software.
3) Crea riesgos de seguridad. De hecho, al no tener acceso al código fuente o no tener la capacidad de escanearlo en busca de errores o problemas crea un riesgo inherente respecto a las operaciones en las que la empresa lo utiliza.
Conclusion: La importancia de la Tech Due Diligence
La tecnología o el software de una empresa, como los registros financieros o los contratos legales, están formados por una serie de componentes que, vistos individualmente o en conjunto, dan testimonio de su solidez frente a una multitud de riesgos.
A medida que aumenta el número de empresas que confían en el software, ya sea para ejecutar sus operaciones o como producto final, no es suficiente con que un inversor potencial analice las consideraciones legales, financieras y estratégicas. La diligencia debida tecnológica es una manera sistemática de evaluar y reducir el riesgo tecnológico desde una perspectiva comercial o de inversión.
En un informa integral de diligencia debida tecnológica se debe proporcionar la información sobre los puntos fuertes de una empresa, así como recomendaciones prácticas para mejorar y orientación para abordar los riesgos más comunes.
La solución de Tech Due Diligence de Vaultinum
Tanto si la idea es prepararse para vender una empresa como si es para conseguir inversores, captar nuevos clientes o mejorar la estructura operativa, el objetivo del conjunto de las soluciones Vaultinum es ofrecer a empresas e inversores las herramientas para obtener el conocimiento esencial de la tecnología de una empresa, reducir los riesgos y potenciar el crecimiento.
La solución de Vaultinum ofrece un enfoque múltiple para hacer auditoría de software. A un nivel, las encuestas de autoevaluación online evalúan la gestión, el funcionamiento y el uso del software, además de revelar los problemas potenciales relacionados con la propiedad intelectual, la ciberseguridad, la adaptabilidad y el mantenimiento. En el siguiente nivel, la auditoría completa escanea el código fuente en busca de amenazas y vulnerabilidad comunes.
De manera global, la Due Diligence Tecnológica ofrece una visión completa del software y de los procesos de gestión de la tecnología de la organización.
[1] Institute for Mergers, Acquisitions and Alliances (IMAA)
[2] Benchmark Insights (2020) Assessing cyber risk in M&A. IBM Corporation.
[3] Idem.
[4] Brewster, T. “Revealed: Marriott's 500 Million Hack Came After A String Of Security Breaches”. Forbes, 3 Dec. 2018,
[5] Dobie, G., Whitehead, J. (2020). Managing the impact of increasing interconnectivity: Trends in Cyber Risk. Allianz Global Corporate & Specialty.
[6] Dobie, G., Whitehead, J. (2020). Managing the impact of increasing interconnectivity: Trends in Cyber Risk. Allianz Global Corporate & Specialty.
[7] Idem
[8] International Chamber of Commerce (ICC). “The ICC Intellectual Property Roadmap”, 14th edition, 2020.
Descargo de responsabilidad
Las opiniones, presentaciones, cifras y estimaciones expuestas en el sitio web, incluido este blog, tienen únicamente fines informativos y no deben interpretarse como asesoramiento jurídico. Para obtener asesoramiento jurídico debe ponerse en contacto con un profesional del derecho de su jurisdicción.
El uso de cualquier contenido de este sitio web, incluido este blog, para cualquier fin comercial, incluida la reventa, está prohibido, a menos que se obtenga primero el permiso de Vaultinum. La solicitud de permiso debe indicar el propósito y el alcance de la reproducción. Para fines no comerciales, todo el material de esta publicación puede ser citado o reproducido libremente, pero se requiere un reconocimiento, junto con un enlace a este sitio web.
Recomendado para ti
