¿Ha tomado las medidas adecuadas para proteger su propiedad intelectual de

Compruébelo ahora con la herramienta Know Your Software IP AUDIT

PRECIO ESPECIAL DÍA MUNDIAL DE LA PI

La gestión y protección de la propiedad intelectual es sin duda uno de los aspectos esenciales de cualquier transacción comercial moderna y saber qué elementos considerar es crucial. Sin embargo, requiere experiencia y conocimientos que se obtienen mejor de un tercero independiente.

Es por eso que Vaultinum desarrolló Know Your Software IP AUDIT, una herramienta de evaluación de IP en línea para ayudar a las organizaciones a resaltar la efectividad de la gestión actual de su IP, identificar cualquier área de mejora y entregarles un plan de acción detallado para solucionar cualquier problema que se identifique. .

HERRAMIENTA DE AUDITORÍA DE IP DE VAULTINUM

En la sección Online Assessment elija y complete la encuesta de IP

Obtenga su informe en cuestión de minutos, con una puntuación de rendimiento y recomendaciones

¿COMO FUNCIONA?

Vaultinum lanza una nueva herramienta de auditoría de PI en línea para ayudar a su empresa a mejorar la forma en que gestiona la propiedad intelectual

Herramienta de auditoría de PI en línea de Vaultinum

Dado que continuamos alejándonos del modelo tradicional de economía física y cada vez estamos más cerca de las realidades virtuales, las empresas se enfrentan a nuevas amenazas emergentes, como los fallos de software, las brechas de datos, los problemas de privacidad, las cuestiones de propiedad intelectual del software de código abierto, las amenazas cibernéticas o la sostenibilidad, entre otras muchas. En este nuevo escenario digital, la seguridad y la protección de los activos digitales cobra un nuevo sentido. Por consiguiente, es más importante que nunca, tanto si es inversor como comprador potencial, saber que la empresa en la que está interesado funciona conforme con las mejores prácticas y tiene las bases adecuadas para un crecimiento sólido. 

En este artículo hemos destacado las 4 áreas principales: Propiedad Intelectual, Software de Terceros, Rendimiento Tecnológico y Ciberseguridad, así como las preguntas clave que debemos hacernos a la hora de gestionar la diligencia debida tecnológica. 

La gestión de la PI es un elemento esencial para el crecimiento y el éxito de una empresa. Además, los derechos de PI cada vez tienen más peso global en la evaluación general de una empresa. Los activos intangibles de PI solo suponían el 17% del valor de mercado de las empresas S&P 500 en 1975. En 2015 ha alcanzado un 87% y en el análisis de 2019, los sectores que han hecho un uso más intensivo de los derechos de PI han generado alrededor del PIB de la UE (6,6 mil billones de euros).

Preguntas Clave a tener en cuenta relativas a la Propiedad Intelectual

¿La compañía objetivo ha actuado para proteger los derechos de PI de su código fuente de software depositándolo en una tercera parte de confianza o en una oficina de copyright?
El software, al igual que las obras de arte o de literatura, está protegido por las leyes del copyright. Para poder reivindicar este derecho, se debe depositar el código fuente y cualquier actualización del mismo en una tercera parte de confianza o en una oficina de copyright. Un depósito sienta las bases de la propiedad del código fuente en un momento dado. 


¿Los contratos de transferencia de PI se realizan con todos los consultores y empleados que trabajan o han trabajado en el desarrollo del software?
En algunos países, la transferencia de PI puede ser automática en las relaciones entre empleados, pero no siempre sucede y aún menos en la relación con los consultores. Esto supone un potencial riesgo de litigio y puede, si se da el caso, tener cierto impacto tanto económico como en lo relativo a la reputación de la empresa. 


¿La empresa tiene todos los derechos necesarios para crear, utilizar, vender u ofrecer su productos reales y propuestos?
El uso de licencias de terceros de alto riesgo (de uso libre, con copyright o de propiedad) sin tener un proceso eficaz para gestionar la PI que identifique y gestione estas licencias y otros derechos de PI, supone un problema potencial que pueda restringir la libertad para comercializar el producto final. 

DESCUBRA LAS SOLUCIONES DE DILIGENCIA DEBIDA TECNOLÓGICA DE VAULTINUM

Las empresas cada vez confían más en el software de terceros para llevar a cabo sus operaciones y/o desarrollar sus propios productos de software. El software de terceros puede ser de código abierto o con licencia comercial. En ambos casos, hay licencias típicas que condicionan su uso. El uso incorrecto o la dependencia excesiva en un software de un tercero puede frenar el crecimiento de una empresa e, incluso, suponer una amenaza para su supervivencia. 

Preguntas Clave a tener en cuenta respecto al Software de Terceros

¿Han firmado acuerdos de escrow que les permita acceder al código fuente del software en el que confían para sus operaciones, como en el caso de quiebra o bancarrota del proveedor (o de fallos en los servicios si funcionan en modo SaaS)?
Depender del software de terceros implica que la empresa está expuesta al riesgo de que dicho software se quede obsoleto, no tenga el mantenimiento adecuado, no ofrezca soporte o, incluso, que se cancele el servicio. Un acuerdo de escrow es esencial para poder continuar trabajando y cumplir con las obligaciones para con los clientes. 


¿La empresa puede identificar todo el software de código abierto que se utiliza en el producto final?
La integración de un software de código abierto en el producto final puede limitar la capacidad de la empresa para comercializarlo y disfrutar del uso total del producto, debido al incumplimiento de los términos de la licencia o la violación de los derechos de PI. 


¿Llevan a cabo un proceso para comprobar las actualizaciones periódicas del software de código abierto que utilizan?
Las actualizaciones pueden solucionar las vulnerabilidades para que el software pueda continuar funcionando según las expectativas y límites de riesgos de los usuarios finales. La falta de actualizaciones también puede limitar el uso de la empresa de su producto de software, dependiendo de la licencia. 

Mientras que el software se ha convertido rápidamente en la espina dorsal de muchas empresas, un significativo número de proyectos de software sigue fracasando a la hora de alcanzar las expectativas de las empresas en lo relativo al rendimiento, la adaptabilidad, el mantenimiento, el coste o el calendario de entrega. Existen múltiples factores en juego y cada uno tiene un diferente nivel de impacto en el éxito de la entrega, del rendimiento y de la reputación del propio producto de software. 

Preguntas Clave a tener en cuenta respecto al Rendimiento de la Tecnología:

¿Cuál fue la transferencia de conocimiento adecuada que realizaron los desarrolladores que participaron en las etapas iniciales del desarrollo del producto?
La gestión de la transferencia de conocimiento es necesario hacerla durante todo el proceso de desarrollo del software y su ciclo de utilización. El hecho de no tener acceso a las etapas iniciales de desarrollo puede tener efectos negativos sobre el mantenimiento y la adaptabilidad del producto final. 


¿La infraestructura tecnológica está lista actualmente para avanzar sin más desarrollo en caso de un rápido crecimiento de la base del cliente?
El hecho de que las infraestructuras tecnológicas no estén listas para avanzar en caso de un crecimiento rápido puede ocasionar errores graves del sistema o problemas de funcionalidad que provoquen pérdidas económicas y daños a la reputación. 


¿Los aspectos organizativos del equipo de desarrollo que puedan tener un impacto directo en su capacidad global se pueden entregar de manera satisfactoria?
Un equipo de desarrollo bien organizado y con un funcionamiento fluido es esencial para el éxito del producto. Unos de los elementos clave a tener en mente son la localización y la distribución del equipo (que no estén demasiado dispersos en cuanto a zonas horarias u oficinas) y el informe periódico de la gestión (para asegurarse de que las estrategias van en consonancia). 

En 2020, el coste global de los delitos cibernéticos alcanzó los 945.000 millones de dólares y se estima que crecerá un 15% anualmente, hasta alcanzar los 10.5 billones de dólares al año en 2025. Todos los días se descubren nuevas brechas técnicas y de seguridad. Cada cambio en un negocio puede provocar vulnerabilidades de manera accidental. Todos los nuevos empleados, consultores o contratistas suponen un nuevo riesgo que hay que gestionar. Un hacker solo tiene que conseguirlo una vez, pero las medidas de seguridad de una empresa tienen que ser adecuadas el 100% del tiempo (en un escenario de amenazas cambiantes). Por lo tanto, no se puede subestimar la importancia de gestionar correctamente el programa de riesgos de ciberseguridad.

Preguntas Clave a tener en cuenta respecto a la Ciberseguridad:

¿Los datos de los clientes se almacenan, están accesibles o se transmiten a través de un entorno en el extranjero (en un país diferente de donde se reciben los datos del cliente)?
La normativa sobre privacidad de datos y las leyes de divulgación obligatoria varían de manera significativa de unas partes del mundo a otras, siendo de vital importancia para las empresas, en especial para las multinacionales, trasladar los requisitos legales de diligencia debida por los diferentes mercados para asegurarse de su cumplimiento. Además, la comunicación internacional no es necesariamente segura y plantea una gran cantidad de riesgos. 


¿La empresa utiliza métodos de encriptación para proteger los datos?    
La encriptación hace que los datos no se puedan leer ni utilizar, salvo que la otra parte tenga la clave para desencriptarlos. La encriptación es una manera de asegurarse de que en caso de brecha de datos y su consecuente robo o copia, es mucho más probable que no se puedan utilizar. Saltarse la encriptación es muy difícil, por lo que es uno de los métodos más seguros para proteger los datos. 


¿Existen registros completos que se guarden y mantengan en todos los dispositivos de la empresa, incluyendo ordenadores, tabletas, móviles, portátiles, etc.?
La documentación adecuada permite a una organización hacer un seguimiento de los dispositivos de la empresa. Es una importante medida para reducir el riesgo, ya que ayuda a evitar las pérdidas y permite dar una rápida respuesta en caso de incidente, como la deshabilitación en remoto de dispositivos perdidos o robados. Un dispositivo ausente supone un riesgo de seguridad que se puede hackear de manera potencial, abriendo la puerta a un ataque a los sistemas y redes de la organización. 



DESCARGUE NUESTRA LISTA DE COMPROBACIÓN DE DILIGENCIAS DEBIDAS TECNOLÓGICAS

¿ESTÁ HACIENDO LAS PREGUNTAS ADECUADAS?

Sin duda, la diligencia debida tecnológica es uno de los aspectos esenciales para las transacciones empresariales contemporáneas, así como tener conocimiento de los elementos a tener en cuenta antes de dar el siguiente paso. Sin embargo, es necesario tener las habilidades, experiencia y perspectivas que ofrecen terceras partes independientes. 

Al contrario de los puntos de vista tradicionales de la diligencia debida tecnológica, Vaultinum ofrece una herramienta online de diligencia debida de software, Conoce Tu Software. Mediante un profundo análisis del código fuente, revisado por un experto en TI, la solución analiza la Propiedad Intelectual, la Ciberseguridad, la Adaptabilidad y los riesgos de Terceras Partes. Los resultados se comparten en un informe detallado que incluye la puntuación, recomendaciones y soluciones. 

Con 40 años de experiencia en el ámbito legal y de las TI, todos los elementos de la solución de KYS de Vaultinum se ha diseñado en colaboración con expertos líderes en los sectores de la Ciberseguridad, la Propiedad Intelectual, el desarrollo de Software y el Cumplimiento, para ofrecer a los usuarios un análisis de riesgos completo y fiable. 

Realice sus inversiones con confianza con la garantía de la solución de la diligencia debida tecnológica de Vaultinum personalizada pensando en el mundo digital actual.  

Es más importante que nunca, ya sea usted un inversor o un comprador potencial, saber que la empresa en la que está interesado está operando de acuerdo con las mejores prácticas y ha sentado las bases adecuadas para un crecimiento sólido. En este post, hemos esbozado las 4 áreas principales -Propiedad intelectual, Software de terceros, Rendimiento tecnológico y Ciberseguridad- y las preguntas clave dentro de cada una de ellas que hay que hacer al realizar la diligencia debida en materia de tecnología.

¿Preparado para invertir? No querrá pasar por alto estas preguntas clave al realizar su diligencia debida en materia de tecnología.

Lista De Comprobación de Diligencias Debidas Tecnológicas

A pesar de que el mundo se ha enfrentado a increíbles retos debido a la actual pandemia de COVID-19, estas interrupciones también han creado muchas oportunidades. El sector de la tecnología es, sin duda, al que más se le puede aplicar dicha afirmación, ya que ha sido, con diferencia, el área más activa en cuanto a inversión por parte de empresas de todo tipo, como el sector tecnológico, los medios de comunicación y las telecomunicaciones (TMT), potenciando una serie de acuerdos, fusiones y adquisiciones. 

Según el Informe Global de Fusiones y Adquisiciones de Bain & Company, en 2020 se experimentó el mayor descenso, pero seguido del mayor repunte del mercado de fusiones y adquisiciones, con más de 28.000 acuerdos alcanzados. La situación prosiguió con un rápido avance, llegando en la primera mitad de 2021 a alcanzar la cifra de 2,9 billones de dólares en actividades globales de fusiones y adquisiciones, una cifra que supone el 91 por ciento respecto a los datos anuales de 2020. [1]. La última vez que se registró una cifra tan alta fue en el cuarto trimestre de 2016, cuando las transacciones de TMT alcanzaron un récord de 249 mil millones de dólares. [2]. 

Pero, ¿qué es lo que realmente produjo este impulso?

VER NUESTRO WEBINAR SOBRE TENDENCIAS EN M&A EN 2022

El primer factor (y el más importante) para impulsar el crecimiento en este sector es la transformación digital. 

Inicialmente impulsado por la pandemia de COVID-19, nos encontramos ante un escenario cambiante de nuevas tecnologías y necesidades tecnológicas en todos los sectores: 

Las empresas del sector automovilístico están potenciando la conducción autónoma y los vehículos eléctricos;

Las empresas del sector industrial se están haciendo con soluciones IoT para la Industria 4.0 (lo que se considera como la 4ª revolución industrial);

Por su parte, las empresas del sector financiero han puesto el ojo en los pagos P2P, las transacciones de comercio electrónico y el blockchain. [3]. 

A medida que las necesidades tecnológicas van cambiando, cada vez más empresas consideran las capacidades tecnológicas como un diferenciador estratégico. De hecho, solo el 11% de las empresas cree que su modelo comercial actual será económicamente viable en 2023. Además, más de dos tercios afirman necesitar nuevos negocios digitales para poder seguir siendo viables [4]. 

Por lo tanto, tiene sentido que la mayoría de los acuerdos de M&A estén enfocados a ayudar a las empresas a ampliar sus horizontes. De hecho, este tipo de nuevos acuerdos representaron solo un 44% de los grandes acuerdos tecnológicos en 2015, pero la cifra ha aumentado hasta alcanzar el 81% en 2020. [5]

Es destacable que cada vez más empresas están centradas en aumentar sus habilidades tecnológicas esenciales, como la entrega online, la telemedicina o las videoconferencias, entre otras. Muchos negociadores también consideran las M&A tecnológicas como un elemento esencial a la hora de transformar la oferta existente y expandirse a nuevos mercados. 

El aumento de la actividad en general también produce un aumento de la competitividad.

Esto se da especialmente en el ámbito de la Equidad Privada. En conjunto con los adquirientes procedentes de otros sectores y de la equidad privada, actualmente representan casi las tres cuartas partes de los acuerdos del sector tecnológico, frente al 60% de hace una década. [6]

También estamos viendo tanto antiguos como nuevos actores que sacuden el sector a través de la innovación, con la aparición de elementos como HealthTech, FinTech, CleanTech y EdTech. Cualquier acrónimo al que se le añada “Tech” será una palabra en auge. 

La competencia también se ve potenciada por una mayor regulación, aunque pueda parecer contradictorio ya que, por norma general, una mayor regulación implica una menor actividad comercial. Pero los inversores buscan ganarle la partida al reloj antes de que aparezcan nuevas normas más restrictivas que compliquen la finalización de contratos. 

Junto con la competitividad, la superabundancia de capital está produciendo altas valoraciones y, por lo tanto, un entorno favorable para la negociación de acuerdos, que sigue impulsando su consecución. Un inversionista de PE lo expresó así: “Ahora, todos los acuerdos implican un proceso de subasta”.

A nivel global, 25 empresas de capital privado tienen 509,81 mil millones de dólares en polvo seco, es decir, en capital comprometido por inversionistas y que no se ha invertido ni asignado. [7].

Al mismo tiempo, los valores tecnológicos continúan en aumento. El índice Nasdaq, compuesto principalmente por acciones tecnológicas, y el S&P 500 aumentaron un 43 y un 41 por ciento, respectivamente. Esto también se ve impulsado por las intervenciones del gobierno. Por ejemplo, en Alemania el sector tecnológico se va a ver beneficiado por un reciente anuncio gubernamental para invertir 10.000 millones de euros en el tejido tecnológico local. [8].

Con estas favorables condiciones, las M&A tecnológicas parecen estar listas para formar parte de las estrategias de las futuras negociaciones. 

Mientras que el sector tecnológico ha experimentado un crecimiento e innovación sin límites durante los últimos años, existen una serie de importantes desafíos tanto a nivel económico como normativo, como el aumento de las normas, el proteccionismo tecnológico y la intensificación de los supuestos de cumplimiento. 

En términos normativos, estamos observando un aumento del control gubernamental respecto a la seguridad, a los datos y a las actividades de las plataformas. Hay multitud de ejemplos: la implementación de unas leyes estrictas sobre la privacidad relativas a las redes sociales en la India, la legislación reciente sobre anuncios digitales en Australia, la nueva ley china sobre Seguridad de Datos que requiere un proceso de revisión de ciberseguridad y la propuesta de Ley Europea de Servicios Digitales y Mercados, con las consecuencias que pueda acarrear para las compañías tecnológicas responsables del trato de datos, el aumento de las divulgaciones y las estrictas normas de competencia.[9]

De cara a 2022 también se observa un mayor proteccionismo tecnológico y el endurecimiento de las Leyes de Inversión Extranjera Directa, en parte como respuesta al COVID-19 en lo relativo a asuntos de seguridad nacional y, en general, como un replanteamiento de las implicaciones comerciales de las cadenas de suministro localizadas. 

En Reino Unido, se aprobó la Ley de Seguridad e Inversión Nacional el pasado 21 de abril, lo que permite un mayor control sobre los acuerdos transfronterizos, así como que el gobierno intervenga en los sectores relacionados con la tecnología. A cambio, la UE también ha aumentado los poderes gubernamentales para analizar los acuerdos M&A a través de regulaciones de IED. 

Las medidas de cumplimiento también se ven impulsadas por la demanda de los consumidores y los acuerdos gubernamentales. Concretamente, las consideraciones ESG se han hecho con un importante hueco en los acuerdos de M&A, requiriendo el desarrollo de nuevas capacidades de diligencia de los criterios ESG. 

DILIGENCIA DEBIDA – IDENTIFICACIÓN DEL OSS

Los inversores que quieran aprovechar este entorno favorable para la negociación han de ser conscientes de los desafíos que se les presentan respecto a la diligencia debida en el momento de la negociación, concretamente la capacidad de valorar de manera integrar el uso de Software de Código Abierto (OSS).

La realidad es que el software está en todas partes. Actualmente es difícil encontrar una empresa que no confíe en el software para alguna de sus operaciones. Pero en el campo de las M&A, básicamente se trata de la joya de la corona. 

De hecho, más de 90% del código del software moderno es Código Abierto, lo que tiene sentido dados los grandes costes y beneficios de eficiencia que se le atribuyen. 

Pero, ¿qué es el Código Abierto? En términos sencillos, es un software de un tercero que está cubierto por una licencia de código abierto. Como todo el software, está sujeto al copyright, por lo que su editor tiene derechos exclusivos sobre él. Si una empresa no puede identificar todo el código abierto o sus dependencias, es probable que no pueda garantizar que las cumple con las licencias del sistema operativo, lo que la pone en riesgo de estar infringiendo la normativa de PI, además de poder sufrir interrupciones comerciales y consecuencias para su reputación. 

La mayoría de las leyes de PI en el ámbito de los SO están relacionadas con el cumplimiento de las licencias por lo que, si las demandas y los requerimientos judiciales son un verdadero riesgo, se dan con menos frecuencia. Lo que se da más a menudo es la interrupción del negocio, lo que sí puede ser muy grave. 

Una empresa con una cultura de incumplimiento se enfrenta a dos riesgos importantes: 

 1) Muchos programadores jóvenes de hoy en día consideran que hacer aportaciones al SO es casi un derecho, por lo que, a la hora de competir por el talento, no se debe subestimar el hecho de que el SO tenga una buena reputación. 

2) Si se exige el cumplimiento, una empresa debe decidir si libera el código fuente bajo la licencia GPL (y revelar así su PI) o rediseñar el producto. [10]

Es extremadamente complicado operar en cualquier tipo de empresa sin un OSS, por lo que está ahí y se debe identificar desde el primer momento a causa de los riesgos que implica. Y, en última instancia, sin utilizar las herramientas adecuadas de diligencia debida, el riesgo es que los acuerdos se retrasen, se devalúen y, en ocasiones, que no se lleguen a realizar. Los adquirientes no quieren hacerse con una demanda o un riesgo respecto a su reputación y el abogado de la aseguradora no querrá emitir un seguro sin tener una idea clara de los problemas del OSS. 

DILIGENCIA DEBIDA - AMENAZAS DE CIBERSEGURIDAD

Además del OSS, el mayor problema al que nos enfrentamos los inversores es el crecimiento generalizado y exponencial de los delitos cibernéticos. 

Todos los días aparece al menos una noticia en los principales periódicos de cualquier parte del mundo sobre una violación importante de los datos o un ataque de ransomware. Y estos casos son solo la punta del iceberg, ya que la mayoría o no se denuncian, o no se detectan. 

La combinación del coste global de los delitos cibernéticos y el gasto en seguridad cibernética es un lastre para la economía, estimado en más de 1 billón de dólares. [11] Pero los gastos derivados de un ataque cibernético van más allá de pagar un rescate: el impacto financiero del tiempo de inactividad en cualquier departamento de una organización supone una media de 600.000 dólares, además de las horas de eficiencia perdidas. [12]. Pero puede que el tiempo y el dinero no sean lo peor que se puede perder en estos casos, ya que los riesgos cibernéticos también pueden provocar el robo de la PI. 

El daño a la reputación también es una consecuencia grave, que puede derivar en la violación de los datos, lo que provoca la pérdida de confianza en una empresa o marca. Por estas razones, no sorprende que las amenazas cibernéticas hayan superado a la normativa excesiva como la principal preocupación de los directores ejecutivos en los sectores de las aseguradoras, el capital privado, la banca y la tecnología. [13]

No se puede subestimar la importancia de realizar una evaluación cibernética durante la fase de diligencia debida. Una empresa puede tener una seguridad cibernética de última generación, pero si adquiere una empresa con una seguridad débil o con vulnerabilidades, podría ser responsable por cualquier daño provocado en incidentes incluso antes de la fusión. 

DEJE QUE VAULTINUM SE PREOCUPE POR LOS RIESGOS

Dado que 2022 se presenta muy favorable respecto a las inversiones del sector tecnológico, es más importante que nunca que los inversores comprueben la tecnología con una exhaustiva diligencia debida. 

Vaultinum ha desarrollado la solución: la herramienta de Diligencia Debida Tecnológica Conoce Tu Software, que ofrece a inversores y empresas información esencial sobre la tecnología y el entorno operativo de una empresa. La solución funciona mediante la evaluación del cumplimiento, identificando vulnerabilidad, reduciendo el riesgo y facilitando el crecimiento. 

KYS es una herramienta formada por dos partes esenciales:

La Auditoría de Código de KYS es un código fuente de software que analiza los componentes de un código fuente y ofrece un exhaustivo análisis de riesgos que incluye la PI, la Seguridad, la Adaptabilidad y la Vulnerabilidad. 

La Evaluación Online de KYS es una serie de cuestionarios para hacerse una auditoría propia para evaluar aspectos relativos a Ciberseguridad, Propiedad Intelectual, Operaciones y Software de Terceros. 

Los resultados de esta evaluación online y auditoría de código los revisan expertos en TI, que adaptan las recomendaciones al contexto de la empresa. El informe incluye conclusiones y evidencias, ilustraciones y un tiempo estimado para solucionarlas. 

Contacte con nosotros hoy mismo y obtenga más información sobre cómo la Diligencia Debida Tecnológica de KYS de Vaultinum le ofrece la información necesaria para ayudarle a tomar decisiones basadas en datos sin tener que perder tiempo ni competitividad. 

[1] Morrison Foerster / Mergermarket. “Fast Forward How Technology M&A is Reshaping Industry”, 2021.

[3] Bain & Company. “Global M&A Report”, 2021.

[4] McKinsey & Company, “Global Survey on Digital Strategy.” May 2021

[5] Bain & Company. “Global M&A Report,” 2021.

[7] S&P Global Market Insights, “Half a trillion dollars of dry powder held by 25 PE firms”, April 2021.

[8] Morrison Foerster /Mergermarket, FAST FORWARD How M&A Technology is Reshaping Industry, 2021.

[10] Above the Law / Fossa, A New Wave of IP Risks: How Open Source is Changing IP in the Software Supply Chain, 2021.

[11] Smith, Z.M., Lostra, E., Lewis, J.A. (2020). The Hidden Costs of Cybercrime. McAfee.

Descubra las 3 tendencias Clave Respecto M&A en 2022

Si 2021 fue un gran año para los acuerdos comerciales en Europa, las perspectivas para 2022 son aún mejores. 

Actualmente, Reino Unido es el epicentro de las M&A de Europa occidental, ya que representa más del 32 % de los acuerdos en 2021 (1) y ha experimentado un aumento de 1.100 millones de libras esterlinas en M&A nacionales solo durante el primer trimestre, en comparación con el mismo período de 2020 (2). Parece que este éxito continuará hasta bien entrado 2022, según la Encuesta de Negociadores de Ansarada UK, que indica que el 90% de los encuestados (ejecutivos senior de 50 empresas con sede en Reino Unido en los sectores de banca de inversión, capital privado y fusiones y adquisiciones) cree que la cantidad de acuerdos de M&A del Reino Unido aumentará en los próximos 12 meses, y el 54% cree que aumentará significativamente. (3)

Teniendo esto en cuenta, las M&A son claramente un punto esencial para el crecimiento y desarrollo acelerado de las organizaciones a medida que miramos hacia el próximo año. Pero, ¿cómo pueden los inversores aprovechar este panorama prometedor mientras se aseguran de no ser víctimas de la creciente amenaza a la seguridad cibernética?        

Tradicionalmente, las organizaciones y los inversores han gestionado la diligencia debida en lo referente a los aspectos financieros, legales, operativos y de recursos humanos. Sin embargo, en lo referente a la gestión de la diligencia debida del software, no siempre encaja con el mismo enfoque sistemático. A menudo, esto se debe a la velocidad con la que las organizaciones implementan las nuevas tecnologías en sus operaciones cotidianas, en parte a causa del rápido crecimiento de las empresas tecnológicas. Con el aumento de la tecnología como un activo principal de las empresas, han surgido nuevos problemas que se solapan con la diligencia debida tradicional. 

UN MOMENTO DECISIVO PARA LA SEGURIDAD TECNOLÓGICA

Las estadísticas recientes han puesto el ojo en el hecho de que los ciberataques están aumentando bruscamente en Reino Unido. Según los datos de Sophos, el 51% de las empresas británicas se vieron afectadas por ataques de ransomware durante el año pasado. Los delincuentes consiguieron desencriptar los datos en el 73% de esos ataques (4). Si tenemos en cuenta estas cifras, es esencial contar con una diligencia debida global que proteja tanto el software como el código fuente durante la fase previa a la adquisición, para poder facilitar al adquiriente una visión completa de los riesgos potenciales de brecha de datos que pueden acarrear graves consecuencias económicas y legales. Además, para los adquirientes o las partes involucradas en la fusión con una empresa ya existente, corren el riesgo de heredar vulnerabilidades ocultas de datos que pueden tener un impacto significativo tanto en las operaciones empresariales como en la relación con los inversores o en la reputación de la empresa. 

Uno de los casos más conocidos de una diligencia debida de software insuficiente con consecuencias catastróficas es el sucedido con Marriott International tras su fusión con Starwood Hotels & Resorts. Dos años después, se supo que, antes de la fusión, había ocurrido una enorme brecha de datos en el sistema de reservas de Starwood, por el que quedaron expuestos los datos de 400 millones de clientes por un fallo de seguridad. Esto les acarreó una multa de 123 millones de dólares por parte de la Oficina del Comisionado de Información, así como daños a la reputación tanto de Marriott como de Starwood. 

COMPRENDER LA SOFTWARE DE CÓDIGO ABIERTO (OSS)

Pero ojalá los problemas se acabaran con las vulnerabilidades ocultas de datos. Para cualquier actividad M&A en la que el software de la empresa objetivo sea un activo significativo para el acuerdo, los inversores también deben tener en cuenta las restricciones potenciales que puede provocar el software de código abierto (OSS). En la actualidad, los desarrolladores de software suelen confiar en los repositorios de código público disponibles en sitios web como GitHub o Stack Exchange, ya que su uso parece ser gratuito. Sin embargo, es frecuente que estas licencias se ofrezcan conforme a una serie de restricciones condicionales. Al utilizar OSS para crear productos derivados o código fuente de enlace a OSS, el producto integrado queda sujeto a dichas restricciones condicionales, que pueden incluir la creación de todo el código o parte del mismo o el pago de una tarifa por su utilización. En otras palabras: una empresa puede no tener todos los derechos sobre sus productos o su software.                         

Si el adquiriente realiza una diligencia debida completa durante la fase previa a la adquisición, puede ayudarle a evitar la responsabilidad por el uso previo del OSS de la empresa objetivo, en los términos relativos a su licencia. Y las malas noticias para los proveedores de software, si el OSS está integrado en su propio software, es que los inversores pueden deshacer totalmente el acuerdo y, al menos, ajustar el valor o los términos del mismo. 

AUDITORÍA TECNOLÓGICA DE PUNTOS FUERTES

Pero, ¿cómo se pueden evitar esos problemas? El primer paso recae en asegurar que los inversores han desarrollado una diligencia debida completa del software durante la fase previa a la adquisición. Siguiendo los avances tecnológicos en materia de IA, este tipo de auditorías se pueden realizar mediante herramientas automatizadas que analizan de manera minuciosa todas las líneas de código para identificar posibles vulnerabilidades cibernéticas, problemas de propiedad intelectual y riesgos de mantenimiento. 

DILIGENCIA DEBIDA TECNOLÓGICA DEL KYS DE VAULTINUM

La Diligencia Debida Tecnológica de KYS de Vaultinum ofrece una solución online para el software de diligencia debida que ayuda a las empresas e inversores en tecnología a reducir los riesgos, aumentar los conocimientos esenciales de la tecnología de las empresas y aumentar el valor de los activos de software. 

La Diligencia Debida de KYS ofrece una auto-auditoría online (Auto-Evaluación de KYS), que analiza la Propiedad Intelectual, la Ciberseguridad, la gestión de Software de Terceros y el Desarrollo de Software, además de realizar un estudio en profundidad del código fuente del software (Auditoría del Código KYS), que ofrece un análisis exhaustivo del riesgo del activo de software, realizado por expertos en TI. 

Las herramientas automáticas, como la Auditoría de Código KYS, mejoran la diligencia debida tecnológica tradicional, ya que las auditorías son más objetivas y menos susceptibles de errores humanos, con lo que quien la adquiere se asegura una mayor reputación, a la vez que tanto el negocio como su confianza permanecen protegidos y en la mejor posición posible para tomar decisiones empresariales de valor. 

(2) www.ons.gov.uk/businessindustryandtrade

(3) www.ansarada.com/blog/UK-M-A-set-to-surge-in-2022

Si 2021 fue un gran año para las operaciones europeas, 2022 parece que será aún mejor. En la actualidad, el Reino Unido es el centro neurálgico de las fusiones y adquisiciones en Europa, con más del 32% de las operaciones en 2021 y un aumento de 1.100 millones de libras en fusiones y adquisiciones nacionales sólo en el primer trimestre. Ahora que miramos al año que viene, las fusiones y adquisiciones serán claramente un punto focal para el crecimiento y el desarrollo organizativo acelerado, lo que hará que la diligencia debida tecnológica sea más importante que nunca.

Descubra cómo los inversores pueden protegerse realizando la debida diligencia tecnológica

Imaginemos el siguiente escenario: usted tiene una empresa SaaS que está actualmente en activo. Lleva trabajando un tiempo para cerrar un acuerdo y está a punto de conseguirlo. Y, de repente, su socio potencial quiere que usted utilice los servicios de escrow de software como parte del acuerdo. Usted no quiere meterse en un callejón sin salida, por lo que necesita encontrar una manera de sacar adelante el contrato al mismo tiempo que protege sus valiosos recursos.  

Escenario número dos: usted tiene una empresa que subcontrata su proceso de desarrollo de software. Pero la empresa que ha subcontratado no tiene mucha experiencia y usted necesita encontrar la forma de minimizar sus riesgos. ¿Qué pasa si la empresa no cumple con su cometido? ¿Cómo puede asegurarse de que seguirá recibiendo soporte para su software en el caso, por ejemplo, de que el desarrollador quiebre? 

Independientemente del escenario en el que se encuentre, cualquier empresa del siglo XXI debe asumir que los servicios de escrow de software son esenciales. Además, en la época de la IA no se puede esperar dirigir un negocio sin el desarrollo del software. Aun así, la verdad es que, en el mundo real, los vendedores de software suelen incumplir su palabra o puede que no lo consigan por problemas económicos. En esos casos, su empresa necesita asegurarse de que puede seguir trabajando con normalidad.  

Así es como funcionan los servicios de escrow de software. Dichos acuerdos pueden ayudar a salvaguardar los intereses de todas las partes implicadas en un contrato de software. Actualmente, profesionales de todas las partes del mundo están eligiendo el escrow de software para proteger su continuidad digital. Y por eso este artículo es de rabiosa actualidad.  

Nos sumergimos de lleno en cómo funciona el escrow de software, en cómo puede ayudarnos a proteger los intereses de nuestra empresa y en explicar cómo seleccionar los mejores servicios de escrow. Después de leerlo, podrá implementar un acuerdo de escrow de software que se adapte a sus necesidades.  

¿QUÉ ES EL SERVICIO DE ESCROW DE SOFTWARE?

Vamos a explicarlo con palabras sencillas: un escrow de software es un servicio que ayuda a implementar acuerdos entre vendedores de software, clientes y agentes de escrow que actúan como una tercera parte de confianza. El acuerdo de escrow asegura que el vendedor está obligado a compartir y almacenar con la agencia de escrow todas y cada una de las líneas de código del software, los datos e instrucciones que permitan al cliente actualizar y hacer el mantenimiento del software.  

¿Por qué es necesario? Si una agencia de desarrollo de software deja en algún momento de proporcionar soporte para el software, cierra la tienda o cancela el contrato, el cliente puede que no tenga capacidad de continuar con sus funciones. En el caso de que se dé esta situación, que se suele denominar “Condiciones de Liberación”, los materiales sujetos al escrow se transfieren al cliente para que pueda continuar funcionando sin problemas. También ayuda a evitar demandas innecesarias, así como pérdidas de tiempo y de dinero.  

¿CUÁLES SON LOS DIFERENTES TIPOS DE ESCROW DE SOFTWARE? 

Dado que ha entrado en este artículo sobre depósitos de software, entendemos que está en el mercado buscando una agencia de escrow de software que se adapte a sus necesidades. Mientras hace sus investigaciones, puede que se encuentre con otros términos relacionados, como depósito de SaaS, depósito de código fuente o, incluso, depósito de datos. Pero, ¿qué significan y por qué son diferentes? Veamos.  

En general, el escrow de software y de código fuente son términos homólogos que tienen el mismo significado que ya hemos explicado. Este tipo de depósito se puede utilizar no solo para el código fuente, sino también para archivos incorporados y documentación relacionada. En resumen: cualquier cosa que permite a un cliente ejecutar, actualizar y mantener sus sistemas de software. Dichos depósitos se utilizan normalmente con licencias de software in situ, aunque se pueden utilizar como contratos de desarrollo o para cualquier otra transacción general basada en el software.  

Sin embargo, en la actualidad el software está cambiando a gran velocidad desde el modelo tradicional hacia el modelo SaaS. En este escenario, los escrow de software están obligados a transformarse en depósitos de Saas o, para ser más concretos, en depósitos en la nube.  

Entonces, ¿qué es el depósito de Saas? 

Es similar al escrow de software, pero centrado en las aplicaciones SaaS. Cuando una empresa se suscribe a un depósito de SaaS, lo hace para protegerse en caso de no tener acceso a los requisitos de SaaS esenciales para su empresa. La agencia de depósito se asegura de que la empresa tenga acceso completo a una copia de todas las funciones de la herramienta SaaS, así como a sus propios datos empresariales.  

Existen otros tipos de depósito, como los de tecnología, de datos y de dominio. Veámoslos más detenidamente antes de seguir adelante.  

El depósito de tecnología tiene como objetivo proteger cualquier manera de tecnología física o electrónica que sea esencial para una empresa. Los depósitos de datos funcionan de manera similar, pero solo con datos. Y el depósito de dominio sirve para proteger las credenciales de los dominios.  

EL PRINCIPIO LABORAL TRAS EL DEPÓSITO DE SOFTWARE

En general, las especificaciones de los contratos de depósito de software cambian según las necesidades de las partes implicadas. Sin embargo, las responsabilidades principales permanecen intactas. Aquí tenemos un desglose rápido de la responsabilidad de cada una de las partes implicadas en un acuerdo de depósito de software. 

El Licenciante, la agencia de desarrollo de software o el vendedor son responsables de depositar el código fuente y otros materiales relevantes ante la autoridad depositaria. También deben asegurarse de que liberan todas las actualizaciones y cambios esenciales del código fuente tal y como se acordó. Finalmente, también deben proporcionar las garantías requeridas y el soporte para el material contenido en el depósito.  

Esta es la parte que ha iniciado el acuerdo de depósito, también conocida como el cliente. Sus responsabilidades incluyen el seguimiento del cumplimiento entre el Licenciante y el agente de depósito.  

El Agente de Escrow es la parte final implicada en el acuerdo de depósito. Sus responsabilidades incluyen la recepción del material depositado y la confirmación de la recepción al titular de la licencia. Una vez hecho esto, tienen que conservar y controlar el material depositado durante el periodo de duración del contrato o hasta que finalicen las condiciones acordadas. A petición del cliente, también puede ofrecer comprobaciones adicionales.  

¿POR QUÉ NECESITA UN ESCROWDE SOFTWARE EN PRIMER LUGAR?

Bueno, ahora que somos más conscientes de lo que es un escrow de software y cómo funciona, nos queda una pregunta: ¿por qué necesito los servicios de un agente de escrow de software? En esta sección vamos a proceder a responder a esa pregunta.  

Tengamos en cuenta las herramientas de software a la venta de manera regular. En este caso, el CLUF (Contrato de Licencia de Usuario Final) garantiza que los usuarios tengan acceso solo al objeto del código. Esta es la parte del código que es meramente ejecutable y el usuario no tiene más derechos sobre el código fuente. En este caso, los servicios de depósito se convierten en algo excesivo.  

Sin embargo, en estos contratos de licencias de software comercial, el titular de la licencia puede necesitar tanto el código objeto como el código fuente. Es esencial asegurar que sus procesos empresariales pueden continuar sin problema. Cuando el titular de la licencia puede acceder al código fuente, puede comprobar cómo funciona el software a la hora de procesar sus datos, realizar funciones esenciales e, incluso, cambiar el código para modificar las operaciones del software.  

Desde ese punto de vista, tener acceso al código fuente es un aspecto esencial a la hora de mantener la integridad de los procesos empresariales. Si no se tiene acceso al código fuente, los desarrolladores no pueden modificar el código conforme a las necesidades de la empresa.  

Ahora tengamos en cuenta la situación en la que el vendedor de software de repente abandona el negocio. Eso implica que el software, básicamente, muere. Si el software es esencial para la empresa, está claro que esta se verá afectada. En los casos más extremos, puede incluso que se vea forzada a interrumpir temporalmente ciertas operaciones mientras se cambia a otra solución de software.  

Los servicios de depósito de software le ayudan a superar este tipo de desastres repentinos. Al formar parte de un contrato de escrow de software, tanto el Licenciante como el Titular de la Licencia pueden estar tranquilos de que sus operaciones seguirán en marcha sin problema incluso en el caso de situaciones imprevistas. En el momento en el que se dan las condiciones de liberación, el servicio de escrow pone el código fuente y los datos relacionados a disposición del Titular de la Licencia. De esta forma, la empresa no se ve afectada.  

Pero, ¿cuáles son esas condiciones de liberación que pueden desencadenar un contrato de escrow? Echemos un vistazo en la siguiente sección.  

ALGUNO EJEMPLO COMUNES DE CONDICIONES DE LIBERACIÓN

En general, tanto el Licenciante como el Titular de la Licencia son libres para poner sobre la mesa las condiciones de liberación que ambos hayan acordado, teniendo en cuenta que el agente de escrow las puede validar de manera independiente. En la mayoría de los casos, una condición de liberación tiene tendencia a involucrar a la situación operativa o económica del Licenciante. Por ejemplo, una condición de liberación común sería una situación en la que el Licenciante entra en quiebra o no puede continuar con su negocio.  

En cuanto se produce una condición de liberación, es tarea del agente de escrow informar al Licenciante de que el Titular de la Licencia ha solicitado la liberación de los materiales almacenados en el depósito. Dicha notificación normalmente se hace por escrito. Al mismo tiempo, el Licenciante tiene la oportunidad de contestar a la solicitud. En caso de que no sea así, el agente de escrow liberará los materiales custodiados para el Titular de la Licencia.  

Abordemos ahora el aspecto económico: ¿quién paga los servicios de escrow? Aquí existen ciertas lagunas y no hay nada establecido. En algunos casos, se hace cargo el beneficiario, es decir, el titular de la licencia. Pero en la mayoría de los casos, es el Licenciante quien tiene que asumir los costes del servicio de escrow de software. De hecho, la mayoría de las licencias comerciales lo incluyen como parte de los costes del servicio.  

LOS BENEFICIOS DE LOS SERVICIOS DE ESCROW DE SOFTWARE

En esta sección vamos a hablar sobre los beneficios de los escrow de software tanto para los desarrolladores como para los beneficiarios. Aclaremos primero las ventajas para los beneficiarios.  

Protección en caso de cierre de la empresa del vendedor 

Protección en caso de que el vendedor deje de ofrecer soporte para el software 

Ofrece un marco legal en caso de complicaciones 

Supone un contrato y reduce las posibilidades de demandas no deseadas 

Crea una sensación de colaboración y confianza 

Por lo tanto, teniendo en cuenta las ventajas mencionadas, los Servicios de Escrow de Software ofrecen un acuerdo ventajoso para ambas partes. 

Vaultinum ofrece servicios especializados de gestión de depósitos de escrow para ayudarle a garantizar la continuidad de su empresa. Tenemos más de 40 años de experiencia como una tercera parte de confianza en el ámbito del software. Tenemos clientes procedentes de todas las partes del mundo que confían en nosotros para mantener sus empresas a salvo.  

Somos uno de los pocos proveedores de servicios que cuentan con los medios para conectarse al sistema de repositorio de los proveedores de software. Así ayudamos a garantizar las actualizaciones automatizadas y optimizadas de todos los elementos en depósito. Trabajar con nosotros le ofrece una serie de beneficios a diferentes niveles de comprobación del depósito por parte de expertos cualificados.  

Vaultinum ofrece servicios de escrow de software y productos SaaS. Nuestra infraestructura técnica cuenta con la certificación ISO 27001, además de las redundancias del centro de datos de Suiza. Ambos nos ayudan a ofrecer un acceso completo a todos los elementos en depósito. Con Vaultinum no tiene que preocuparse por nada.  

En un mundo empresarial en continuo cambio como el actual, se puede hacer fortuna en un abrir y cerrar de ojos. Dado que hay miles de millones de bytes de datos moviéndose de un lado a otro gracias a las herramientas inteligentes, las empresas actuales dependen del software como nunca antes.  

Sin embargo, en cualquier momento pueden surgir situaciones imprevistas. El proveedor puede fallar, el software puede quedarse sin soporte o las actualizaciones pueden dejar de funcionar sin un motivo justificado. En tal caso, su empresa puede sufrir las consecuencias.  

Los servicios de escrow de software pueden ayudarle a superar dichas situaciones. No solo ofrecen la garantía a los clientes, sino que también ayudan a los proveedores a aumentar la confianza y a cerrar contratos. En el futuro, los escrow de software dejarán de ser la excepción para ser la norma.  

Es importante asegurarse de que contrata un proveedor de servicios de escrow adecuado, como Vaultinum. Le aseguramos que sus necesidades de software estarán cubiertas y que su negocio seguirá funcionando, pase lo que pase.  

Así que contacte con Vaultinum y aproveche nuestros servicios de software de escrow. Le prometemos que no tendrá que seguir buscando.  Contacte con nosotros y nos encargaremos de todo.  

Imaginemos el siguiente escenario: usted tiene una empresa SaaS que está actualmente en activo. Lleva trabajando un tiempo para cerrar un acuerdo y está a punto de conseguirlo. Y, de repente, su socio potencial quiere que usted utilice los servicios de escrow de software como parte del acuerdo.

Aprenda todo lo que necesita saber sobre los servicios de Escrow de Software en nuestra guía paso a paso

La Guía Definitiva Sobre Servicios de Escrow de Software

Las tecnologías digitales, desde la inteligencia artificial y el Internet de las cosas hasta la disponibilidad de datos y el blockchain, siguen evolucionando a una velocidad vertiginosa.  Para no quedarse atrás, los ciberriesgos evolucionan aún más rápido.  El costo global de la ciberdelincuencia en 2020 alcanzó los 945.000 millones de dólares, casi el doble de las cifras de 2016[1]. Según la organización de investigación Cybersecurity Ventures, se espera que el costo global crezca un 15% anual, hasta alcanzar los 10,5 billones de dólares al año en 2025[2].

Las empresas deben prepararse para los nuevos retos que plantea la evolución de los objetivos, las técnicas y las repercusiones de los ciberdelitos. Este artículo se centrará en los crecientes riesgos relacionados con: el aumento de los incidentes de ransomware, la posibilidad de que se produzcan mas interrupciones de la actividad que resulten pertubadoras y costosas, las consecuencias de una regulación más sólida y los riesgos de litigio, el robo generalizado de la propiedad intelectual, así como los nuevos impedimentos para el éxito de las fusiones y adquisiciones.

La escala y el alcance de los ataques de ransomware están aumentando a un ritmo sin precedentes.  Esto se debe a una combinación de factores que incluyen el rápido aumento de la digitalización, el creciente uso de criptodivisas, el aumento de las tensiones geopolíticas, el extraordinario entorno creado por la pandemia y la mejora de los esquemas que han hecho que el ransomware sea aún más rentable. 

El ransomware es un programa malicioso que infecta los dispositivos informáticos y puede bloquear el acceso a redes informáticas enteras, manteniendo de hecho a una empresa como rehén hasta que se pague un rescate. 

El malware suele infiltrarse en los servidores de un sistema mediante un correo electrónico inocuo ("phishing") enviado a un empleado de la empresa objetivo. La capa humana suele ser el eslabón más débil de la ciberdefensa y, por lo tanto, es un blanco fácil para los ciberdelincuentes.  Se estima que entre el 50% y el 90% de las violaciones de datos son causadas o instigadas por los empleados[3].

El precio de los rescates está creciendo junto con el aumento del uso del ransomware.  El rescate medio pagado por las empresas con sede en Europa, Estados Unidos y Canadá casi se ha triplicado, pasando de 115.123 dólares a 312.493 dólares en poco más de un año[4]. Este aumento se debe, en parte, a las nuevas tácticas empleadas por los ciberpiratas, que combinan el cautiverio de los datos con la amenaza de filtrarlos en sitios públicos, una doble amenaza que deja a las empresas con poco o ningún recurso más que pagar el rescate.[5].

También se debe en parte al cambio de objetivos. En lugar de dirigirse a ordenadores personales individuales, los ciberdelincuentes se dirigen a organizaciones del sector público y privado de diverso tamaño, lo que permite aumentar tanto el rescate solicitado como la probabilidad de éxito en el pago[6].

Se prevé que la amenaza de un ataque de ransomware no hará más que empeorar con el creciente uso del modelo de "franquicia" adoptado por los ciberdelincuentes, según el cual el malware se alquila en la red oscura a los llamados afiliados en un esquema de ransomware como servicio en el que los arrendadores ganan una regalía o canon, lo que hace que el ransomware sofisticado esté más disponible y sea más rentable[7].

Si un incidente cibernético conduce o no al pago de un rescate, los costos asociados a cualquier interrupción de la actividad empresarial resultante superan con creces la cantidad exigida.  De hecho, estos costos pueden ser entre cinco y cien veces mayores que el costo del propio rescate, lo que a menudo incita a las empresas a pagar el rescate solo para evitar los costos de la interrupción[8].

La interrupción del negocio es la pérdida de ingresos cuando no se puede utilizar un recurso o no se puede prestar un servicio, lo que conlleva la pérdida de ventas, la reducción de la eficiencia, el aumento de los gastos relacionados con el ciberincidente (recuperación de los sistemas informáticos, daños pagados a los clientes, etc.) y el daño a la reputación. 

Mientras que las empresas más grandes suelen estar mejor posicionadas para soportar las pérdidas provocadas por la interrupción del negocio, son las pequeñas y medianas empresas (PYMES) las que sufren de forma desproporcionada cuando son víctimas de un ciberataque.

Se calcula que el 45% de los ataques en línea se dirigen a las PYMES[9]. A diferencia de las empresas más grandes, las PYMES tienen defensas o higiene cibernética limitadas o incluso inexistentes. Para las empresas de todos los tamaños, el coste medio de la interrupción es de unos 200.000 dólares; para las PYMES este coste puede ser insuperable, ya que el 60% de ellas abandonan el negocio tras ser víctimas[10].

En cuanto al pago de un rescate para evitar los costes de la interrupción de la actividad empresarial, pagar no garantiza la recuperación total y, desde luego, no elimina todos los costes de la interrupción de la actividad empresarial asociados a la garantía de que cada máquina esté libre de infecciones. Además, el pago del rescate no garantiza que los datos de una empresa se devuelvan completos. La empresa de ciberseguridad Sophos descubrió que los que pagaron el rescate sólo recuperaron el 65% de los datos encriptados de media, dejando más de un tercio inaccesibles[11] E incluso si se devuelven los datos, no hay garantía de que no hayan sido copiados para su futuro uso, venta y/o chantaje.

Mientras que muchas empresas confían en los seguros de interrupción de negocio y de propiedad para ayudar a compensar los costes de los incidentes cibernéticos, cada vez más las compañías de seguros confían en las cláusulas de "acto de guerra" para protegerse de los pagos.  El sonado ataque de ransomware NotPetya y la consiguiente demanda contra Zurich American Insurance por su denegación de cobertura en virtud de su póliza de exclusión por "acto de guerra" demuestran que el ciberseguro no puede considerarse un sustituto de la ciberseguridad[12].

Además de los riesgos relacionados con las interrupciones del negocio y el pago de rescates, las empresas también se enfrentan a una responsabilidad potencial cada vez mayor si se descubre que no han cumplido con las leyes y reglamentos vigentes en los países en los que operan o si se descubre que han sido negligentes, al no ejercer la debida atención para limitar el riesgo cibernético.

En Europa, el Reglamento General de Protección de Datos (RGPD) impone multas a las empresas si no siguen las normas de protección de datos o los requisitos de notificación de violaciones de datos.  Las empresas se arriesgan a recibir una multa de hasta el 4% de sus ingresos globales anuales o de 20 millones de euros, lo que sea mayor, si infringen el reglamento[13].

La aplicación del RGPD ya ha provocado un aumento de las notificaciones de reclamaciones. Según el bufete de abogados Pinsent Manson, entre marzo de 2019 y mayo de 2020, las autoridades europeas de protección de datos impusieron un total de 190 multas relacionadas con el RGPD, por un valor de casi 500 millones de dólares[14] Entre las grandes multas por infracciones destacan la de 57 millones de dólares a Google en Francia y la de 41 millones a H&M en Alemania[15].

De Europa a Estados Unidos, y a todo el mundo, las regulaciones de privacidad de datos y las leyes de divulgación obligatoria de violaciones varían ampliamente, lo que hace que la debida diligencia legal en los mercados sea esencial para las empresas, y en particular, para las multinacionales. El grupo hotelero Marriott y la agencia de calificación crediticia Equifax sufrieron violaciones de datos muy publicitadas en 2018 y 2017, respectivamente, y fueron objeto de numerosas demandas y acciones regulatorias en múltiples jurisdicciones, con Marriott enfrentando una multa de 130 millones de dólares solo en el Reino Unido por la violación[16].  

Dada la omnipresencia de las violaciones de datos, las empresas lo consdieran cada vez más como un coste adicional a su actividad. Sin embargo, este no es en absoluto el caso del robo de datos relativos a la propiedad intelectual (PI), que se considera una de las mayores amenazas a las que se enfrentan las empresas.

Aunque el robo de la propiedad intelectual existe desde hace tanto tiempo como la propia propiedad intelectual, los últimos avances en materia de ciberespionaje y robo deberían preocupar a las empresas.

Los ciberpiratas recurren cada vez más a las Amenazas Persistentes Avanzadas (APT, por sus siglas en inglés), en las que el acceso a un sistema puede permanecer sin ser detectado durante un largo periodo de tiempo con el objetivo de robar datos o penetrar en una red.  Los ataques APT suelen tener como objetivo el robo de propiedad intelectual o datos sensibles para obtener beneficios políticos o económicos[17].

En los primeros meses de la pandemia, los piratas informáticos se dirigieron a la Organización Mundial de la Salud infiltrándose en sus redes con el APT conocido como "Dark Hotel"; un esfuerzo por robar información sensible relacionada con el Covid-19.[18] La industria de la salud y, más recientemente, la investigación de vacunas, son objetivos muy importantes porque, en última instancia, su propiedad intelectual es muy valorada.

Sin embargo, en algunos casos el robo de la propiedad intelectual tiene como objetivo robar una ventaja competitiva, secuestrar nuevas tecnologías y secretos comerciales y hacer que se pierdan cientos de millones de dólares en inversiones en I+D.  Este fue el caso del fabricante de chips AMD, donde los atacantes robaron y filtraron el código fuente de los gráficos de la serie X de Xbox.

En todos los casos, el impacto en los flujos de ingresos del robo de PI por intrusiones cibernéticas puede llevar a una reducción de los esfuerzos de I+D y a un aumento del coste del capital si los inversores consideran que la PI no está suficientemente protegida[19].

Las fusiones y adquisiciones (M&A) son un terreno fértil para los ciberdelincuentes, ya que les ofrecen oportunidades a corto y largo plazo.

A corto plazo, con las operaciones empresariales en transición, los datos son más vulnerables y corren un mayor riesgo de ser atacados. A largo plazo, las transacciones de fusiones y adquisiciones son una oportunidad excelente para infiltrarse en las redes de la empresa que se fusiona o adquiere, a menudo mediante el empleo de APT, en un esfuerzo por obtener acceso al entorno y la información de la empresa objetivo durante un largo período de tiempo.

Las amenazas a las que se enfrentan las fusiones y adquisiciones ponen de manifiesto la importancia de llevar a cabo la diligencia debida en materia de ciberseguridad en la fase previa a la adquisición.  De hecho, más del 50% de las empresas encuestadas por IBM esperan a que se complete la diligencia debida antes de realizar evaluaciones de ciberseguridad de las transacciones de fusiones y adquisiciones[20].

Aunque una empresa puede tener una seguridad cibernética de vanguardia, si adquiere una empresa con una seguridad débil o con vulnerabilidades existentes, podría ser responsable de cualquier daño por incidentes ocurridos antes de la fusión, como se vio en la violación de datos del grupo hotelero Marriott.Aunque la violación de datos se descubrió en 2018, se rastreó a una intrusión cibernética que ocurrió en 2014 en Starwood, un grupo hotelero que adquirió en 2016[21]. [21] Si Marriot hubiera llevado a cabo la debida diligencia cibernética durante la preadquisición, esta vulnerabilidad podría haberse descubierto y/o se podrían haber tomado medidas junto con una valoración revisada.Además, adquirir una empresa que puede tener vulnerabilidades puede equivaler a integrar un caballo de Troya.

CREACIÓN DE CIBERRESISTENCIA: CONOZCA SU SOFTWARE

Descubra por qué las empresas deben prepararse para los nuevos retos que plantea la evolución de los objetivos, las técnicas y las repercusiones de los ciberdelincuentes.