Advertencia para los compradores: las trampas de la ciberseguridad en fusiones y adquisiciones

Las fusiones y adquisiciones (FyA) son un aspecto básico del comercio mundial, que permite a las empresas aumentar su cuota de mercado, ampliar su alcance internacional, diversificar los productos y servicios e incorporar tecnología. Muchas FyA suponen un gran éxito para las empresas y sus accionistas, como la compra de Pixar por parte de Disney (y más tarde de Marvel); la fusión entre Exxon y Mobil; o las adquisiciones de Instagram y WhatsApp por parte de Facebook. Todos estos casos han sido considerados en general como grandes logros en materia de fusiones y adquisiciones. El flujo de nuevos acuerdos no se detiene, como acredita la reciente propuesta de fusión entre Virgin Media y O2, que sobresale entre las últimas fusiones y adquisiciones destacadas.

Sin embargo, hay muchos otros acuerdos que no dan tan buen resultado. La causa pueden ser factores externos como los cambios en la economía, las perturbaciones del mercado o las restricciones regulatorias. Algunos fracasos también pueden achacarse a carencias en la ejecución de la integración o a la imposibilidad de materializar los resultados esperados. La lista de fracasos sonados es larga, empezando por la adquisición de Nokia por parte de Microsoft, que provocó una importante pérdida de puestos de trabajo entre la plantilla de Nokia y supuso una sangría financiera para Microsoft. Del mismo modo, la adquisición por parte de Yahoo de la red social Tumblr en 2013 solamente puede describirse desde la perspectiva actual como un fracaso o un despilfarro de dinero: una compra de 1.100 millones de dólares se tradujo finalmente en una amortización de 230 millones de dólares.

Todas las fusiones y adquisiciones conllevan un proceso de “due diligence” o de “comprobaciones debidas”, complejo y detallado y, si la transacción se lleva finalmente a cabo, también requerirá un proceso de integración que influirá en el éxito global de la operación. Una característica de los procesos de FyA actuales es que se están volviendo más complicados debido a la dependencia que cada negocio tiene respecto a su infraestructura tecnológica y a los desafíos que supone combinar sistemas completamente distintos.

Por consiguiente, es imprescindible que las compañías que abordan un proceso de FyA evalúen adecuadamente la infraestructura de TI de sus posibles incorporaciones con el fin de salvaguardar los datos de los clientes, las empresas y los socios, así como garantizar la integridad de los sistemas críticos para el negocio. Sin embargo, la ciberseguridad se está convirtiendo en un punto ciego habitual para las organizaciones implicadas en fusiones y adquisiciones. Esto provoca nuevas vulnerabilidades graves que ensombrecen los esfuerzos de los directivos por integrar con éxito las plataformas, soluciones y servicios. Un ejemplo es cuando las grandes empresas que utilizan soluciones antiguas alojadas en sus instalaciones adquieren empresas jóvenes que presentan un uso mucho mayor de las soluciones de la nube. Eso puede aumentar la complejidad del proceso de fusión o adquisición porque las dos compañías tendrán estrategias de seguridad diferentes.

El caso de la adquisición de Starwood por parte de Marriott evidencia el impacto potencial que pueden tener los errores en la fase de las “comprobaciones debidas” relacionadas con la ciberseguridad. El acuerdo creó una de las mayores cadenas hoteleras del mundo y parte de la estrategia posterior de Marriott consistió en lanzar un nuevo programa de fidelización, que daría acceso a los clientes existentes de Marriott y Starwood a más de 5.500 hoteles en 100 países. Sin embargo, un fallo en las comprobaciones debidas durante el proceso de FyA permitió a un atacante —que había violado la seguridad de la infraestructura de Starwood antes de la adquisición— descargar los datos de los clientes sin ser detectado. Después de descubrirse la brecha, Marriott tuvo que afrontar una multa de 99 millones de libras esterlinas por la vulneración del Reglamento General de Protección de Datos.

Así pues, la cuestión es que las compañías que se embarcan en procesos de FyA deben tener una visibilidad total de sus propios sistemas, así como de los sistemas de las empresas con las que se combinan, si quieren dar a la seguridad la atención que merece durante el proceso. Por ejemplo, si un usuario no autorizado con acceso administrativo está haciendo solicitudes de datos en una base de datos con información de los clientes, la empresa compradora debe solucionar antes que nada ese problema de seguridad. Además, el cifrado de los datos en todas las aplicaciones, los repositorios de datos y otras medidas también puede ayudar a proteger los datos sensibles. 

El lado positivo de combinar los sistemas y datos de TI de dos empresas de forma segura es que ambas compañías pueden beneficiarse de compartir las capacidades, herramientas, procesos y experiencias de sus equipos y tecnologías. Relegar la seguridad a un aspecto secundario durante el proceso de fusión o adquisición implica el riesgo de incurrir en graves infracciones, frenar el proceso de integración e incluso comprometer seriamente la reputación corporativa ganada con tanto esfuerzo.

La entrada Advertencia para los compradores: las trampas de la ciberseguridad en fusiones y adquisiciones aparece primero en Globb Security.