Ciberseguridad

Ciberamenazas o fugas de datos, principales riesgos en las fusiones y adquisiciones tecnológicas

Estas brechas se pueden reducir notablemente con una adecuada auditoría del 'software' realizada antes de las fusiones o adquisiciones. "Ya es una práctica común aplicar la 'due diligence' financiera, evaluando que el activo es financieramente escalable, entre otros factores.
miércoles, 12 de enero de 2022 · 13:15

MADRID (Portaltic/EP).- El número de fusiones y adquisiciones en España aumentó un 22% hasta septiembre de 2021, siendo el sector tecnológico el que está experimentando un mayor crecimiento, según datos de TTR. Esto tiene consecuencias significativas en términos de los posibles riesgos que se plantean tanto para el adquirente como para la empresa objetivo, según alerta la compañía Vaultinum.

Las ciberamenazas y las brechas de datos durante las operaciones de fusiones y adquisiciones (M&A, por sus siglas en inglés) se han vuelto tristemente famosas durante los últimos años, con más de uno de cada tres ejecutivos -encuestados por IBM- informando de violaciones de datos asociadas a estos procesos durante el período de integración.

Los expertos de Vaultinum afirman que estas brechas se pueden reducir notablemente con una adecuada auditoría del 'software' realizada antes de las fusiones o adquisiciones. "Ya es una práctica común aplicar la 'due diligence' financiera, evaluando que el activo es financieramente escalable, entre otros factores. Sin embargo, varias empresas siguen sin revisar cuidadosamente el código fuente de un 'software' en estas auditorías", advierten.

En este sentido, insisten en que esto puede ser "problemático", ya que "significa que los inversores entran a ciegas en una operación, debido a los posibles riesgos tecnológicos asociados al código fuente, como los riesgos de ciberseguridad y las licencias de código abierto". Por ello, detallan los principales riesgos a los que podrían enfrentarse las empresas.

Terreno fértil para los ciberdelincuentes

Estos expertos aseguran que las operaciones de M&A son un "terreno fértil para los ciberdelincuentes", ya que les ofrecen oportunidades a corto y largo plazo. "A corto plazo, con las operaciones empresariales en transición, los datos son más vulnerables y corren un mayor riesgo de ser atacados. A largo plazo, estas operaciones constituyen una excelente oportunidad para infiltrarse en las redes de la empresa fusionada o adquirida", añaden.

Otro punto a tener en cuenta son las fugas de datos y vulnerabilidades. En este punto, desde Vaultinum señalan que adquirir o fusionarse con una empresa secundaria que tiene vulnerabilidades de datos ocultos "puede afectar las operaciones de negocio, las relaciones con los inversores y la reputación de la empresa principal".

La compañía pone como ejemplo la brecha de datos que se produjo en Yahoo! Y que fue revelada por Verizon en 2017. Durante las negociaciones de la fusión, se anunció que Yahoo! había sufrido una brecha de datos durante la cual un hacker robó los datos personales de al menos 500 millones de usuarios, seguida de una segunda brecha de datos en la que se comprometieron 1.000 millones de cuentas.

En este caso, Verizon decidió seguir adelante con el acuerdo, pero no fue sin consecuencias. El precio de compra se redujo en 350 millones de dólares y Verizon aceptó compartir la responsabilidad legal por estas brechas de datos. "Si esta violación de datos no se hubiera revelado durante las negociaciones, Verizon podría haber pagado de más por Yahoo!, además de sufrir daños legales y de reputación a largo plazo", indican los expertos.

Riesgos del software de código abierto

Para cualquier actividad de fusiones o adquisiciones en la que el 'software' de la empresa objetivo sea un activo importante de la operación, los problemas no terminan con las vulnerabilidades de datos ocultas. Así, desde Vaultinum advierten de que los desarrolladores de 'software' a menudo confían en los repositorios de código público disponibles en sitios web como GitHub o Stack Exchange.

De esta forma, indican que "es posible que no tengan en cuenta el hecho de que las licencias de OSS (software open source) se ofrecen a menudo sujetas a restricciones condicionales". "Al utilizar el OSS para crear productos derivados o vincular el código fuente al software de código abierto, los desarrolladores quedan sujetos a estas restricciones condicionales, que pueden incluir la publicación de toda o parte del código o el pago de una cuota por su uso", concluyen.

Por todo ello, Vaultinum reitera que llevar a cabo una 'due diligence' exhaustiva es esencial durante la fase de preadquisición, para evitar los problemas antes mencionados asociados a las brechas de datos y a las licencias de 'software'. "Los avances actuales en tecnología de inteligencia artificial (IA) permiten que estas auditorías sean exhaustivas, analizando cada línea de código para identificar posibles problemas de vulnerabilidades del 'software' y los datos", sentencia.

Comentarios