Skip to content
Menu
menu
Mergers and Acquisitions

Ilustración de iStock; Security Management

El auge de la ciber-diligencia en la negociación de acuerdos

Por Megan Gates; Traducido por David Crevillén
1 de junio de 2021

SM en Español

Fue un trato por el que Marriott International se convirtió en el propietario de la mayor cadena hotelera del mundo. En 2015, la empresa anunció que compraría Starwood Hotels & Resorts Worldwide, Inc. por 12.200 millones de dólares, combinando los 5.500 hoteles de ambas empresas con 1,1 millones de habitaciones en todo el mundo.

Pero, sin que Marriott lo supiera, el acuerdo abriría un enorme campo de responsabilidad unos años más tarde, cuando la Comisión Federal de Comercio (FTC) de EE.UU. multara a Marriott por una violación de la base de datos de reservas de huéspedes de Starwood, que expuso la información personal de hasta 500 millones de personas.

"La cadena hotelera dice que la brecha comenzó en 2014 y cualquier persona que hizo una reserva en una propiedad de Starwood en o antes del 10 de septiembre de 2018, podría estar afectada", según el anuncio de la FTC.

Marriot aclaró más tarde en una actualización en 2019 que aproximadamente 383 millones de registros de huéspedes se vieron comprometidos en la brecha -incluyendo 20,3 millones de números de pasaporte encriptados y 5,25 millones de números de pasaporte no encriptados.

Junto con la multa de la FTC, el propietario del hotel también fue multado con más de 99 millones de libras (130 millones de dólares) por la Oficina del Comisionado de Información del Reino Unido por la brecha; la oficina del comisionado ha reducido desde entonces la multa a 18,4 millones de libras (25 millones de dólares) debido a la pandemia de COVID-19.

Además, Marriott se ha enfrentado a una serie de reclamaciones legales relacionadas con su gestión de la infracción. Una de las más importantes es una demanda colectiva presentada por dos miembros del programa de fidelización de clientes de Starwood -y ahora de Marriott- en nombre de todas las víctimas de la filtración.

99 millones £

de multa a Marriott International por una violación de datos.

"Es especialmente sorprendente que Marriott no descubriera esta grave violación de datos durante el curso de sus gestiones de diligencia debida en relación con su adquisición de Starwood en 2016", dijo Amy Keller, socia de DiCello Levitt y abogada codirectora de la demanda. "Marriott parece olvidar que parte de estar en el negocio de servicio al cliente incluye realmente cuidar de sus clientes. Con esta demanda, pretendemos asegurarnos de que no vuelvan a olvidarlo".

Y mientras esos esfuerzos se centran en asegurar que Marriott aprenda de los errores anteriores, los resultados recientes de una encuesta de Deloitte sugieren que las organizaciones se están tomando más en serio la ciberseguridad durante el proceso de fusiones y adquisiciones (M&A), especialmente cuando esos acuerdos se hacen virtualmente.

En la Encuesta sobre el Futuro de las Tendencias de Fusiones y Adquisiciones, realizada a 1.000 ejecutivos de fusiones y adquisiciones corporativas y profesionales de empresas de capital privado de Estados Unidos, Deloitte descubrió que la actividad de las transacciones en Estados Unidos se desplomó después de que la Organización Mundial de la Salud declarara la COVID-19 como pandemia en marzo de 2020. Pero en abril de 2020, la situación cambió, ya que el 60% de los encuestados dijo que sus organizaciones estaban más centradas en la búsqueda de nuevos acuerdos. Seis de cada 10 encuestados también dijeron que esperaban que la actividad de fusiones y adquisiciones en Estados Unidos volviera a los niveles anteriores a la COVID-19 en los próximos 12 meses.

"Cuando se trata de la cibernética en un mundo de fusiones y adquisiciones, es importante desarrollar perfiles de amenazas cibernéticas de posibles objetivos y empresas de cartera para determinar los riesgos", dijo Deborah Golden, líder de riesgo cibernético y estratégico de Deloitte. "Los CISO entienden cómo una filtración de datos puede afectar negativamente a la valoración y a la propia estructura de la operación. Dejar la cibernética fuera de esa imagen de riesgo puede conducir no sólo a un riesgo de marca y de reputación, sino también a costos de remediación significativos y no contabilizados."

En la práctica, esto significa que las organizaciones están dando a los CISO un espacio en la mesa y haciéndolos parte del proceso de diligencia debida, dice Jaime Fox, socio y director de Deloitte Cyber Risk Services. Fox dirige el trabajo de Deloitte en materia de diligencia debida cibernética en las adquisiciones estratégicas.

Anteriormente, los representantes de seguridad sólo se incorporaban al proceso de negociación durante los aspectos de cierre para poder centrarse en la integración de las organizaciones implicadas, afirma. Sin embargo, este enfoque significa que las organizaciones podrían no descubrir un riesgo cibernético -como la filtración de datos de Starwood- antes de finalizar el acuerdo, lo que les expone a una posible responsabilidad, mayores costes de reparación y más consecuencias en el futuro.

Inicialmente, las organizaciones empezaron a cambiar su enfoque de la debida diligencia cibernética realizando una evaluación de ciberseguridad de alto nivel. Esto incluía aspectos como el examen de un amplio panorama de amenazas y la seguridad general de la red, explica Fox. Antes de que se produjera la pandemia de COVID-19 a principios de 2020, los clientes pedían que la ciberseguridad se tuviera más en cuenta en la diligencia debida.

"Ahora, en un mundo COVID, estamos viendo inmersiones más profundas en lo que los clientes están investigando", añade. "Vemos que los compradores hacen cosas en términos de inteligencia de amenazas e investigación en la Dark Web para obtener una mayor comprensión en torno a cosas como las credenciales de usuario filtradas para la venta. Es muy alentador verlo... y ayuda al CISO a enmarcar la mentalidad: 'Esta es la casa que voy a comprar. Estas son las cosas que he descubierto. Esto es lo que me va a costar la reparación'".

Estas incursiones profundas incluyen la creación de un libro de jugadas cibernético que define las áreas que las partes quieren cubrir en su proceso de diligencia debida, incluyendo la inteligencia de amenazas, la investigación de la Dark Web, el reconocimiento cibernético y las evaluaciones de los flujos de red para identificar el tráfico potencialmente sospechoso. Algunos también optan por realizar pruebas de penetración.

“Es especialmente sorprendente que Marriott no descubriera esta grave violación de datos en el curso de su diligencia debida.”

"A menudo el cliente aprueba hacer algo así, y a veces no", dice Fox. "Es muy esperanzador ver cómo los clientes y los adquirentes se esfuerzan por obtener este tipo de información. Realmente ayuda a centrarse en sus 10 preguntas principales; después de haber reunido esta información, pueden ir al objetivo y comprender mejor lo que han encontrado".

Esto se puso de manifiesto, por ejemplo, cuando Verizon redujo su oferta de adquisición de Yahoo! en 350 millones de dólares después de que Yahoo! revelara dos importantes filtraciones. Y la parte de Yahoo! que no formaba parte del acuerdo con Verizon aceptó asumir el 50% de la responsabilidad relacionada con cualquier demanda futura derivada de las violaciones, según el análisis de PricewaterhouseCoopers (PwC), When Cyber Threatens M&A.

"Esto no es un problema sólo para las empresas tecnológicas. Las ciberamenazas se han extendido a sectores que no eran objetivo en la era digital; las cadenas de restaurantes, por ejemplo, pueden ser atacadas por la información de los clientes, ya sea números de tarjetas de crédito o información de sus programas de fidelización", señala PwC. "Además, el objetivo de un ciberataque puede ser algo más que un simple robo de datos. Pensemos en la fórmula de un medicamento de una empresa farmacéutica, el diseño de un producto de un fabricante o el modelo de transporte de una empresa de distribución. Todo eso es propiedad intelectual que puede ser una parte crucial del valor de un acuerdo".

Estas amenazas aumentan los riesgos para los compradores que desean realizar una transacción -y convierten sus posibles adquisiciones en un objetivo más lucrativo durante el proceso de integración-, pero no tienden a alejarlos de la negociación.

"Aunque las amenazas cibernéticas son más frecuentes, sigue siendo raro que una brecha u otro problema perjudique una transacción hasta el punto de que un comprador se retire por completo; el retraso de la transacción es un resultado más común", según PwC. "Sin embargo, los retrasos, los costes añadidos y las dudas sobre el valor del objetivo tienen consecuencias para el proceso de la transacción. Para evitar estos daños, los adquirentes deben comprender los riesgos cibernéticos del objetivo para poder limitar las sorpresas, modelar adecuadamente y garantizar una transacción adecuada."

Esto es clave, añade Fox, porque descubrir esta información antes en el proceso permitirá a los adquirentes negociar mejores condiciones.

"De entrada, decimos a nuestros clientes que pasar por este proceso antes sólo les va a ayudar al final", dice. "Entender el impacto de las brechas de seguridad, los controles en torno a los datos de los clientes y armarlos con información sobre la importancia de entender la entidad que vas a comprar... cuando lo presentas desde una perspectiva de riesgo, demuestras que son cosas que deberíamos poder cuantificar".

También hay una atención renovada a la ciberseguridad, ya que muchas de las fusiones y adquisiciones que se producen hoy en día se hacen virtualmente. El 87% de los encuestados por Deloitte dijo que sus organizaciones han gestionado eficazmente un acuerdo en un entorno puramente virtual, y más del 55% dijo que prevé que la realización de acuerdos virtuales será la plataforma preferida incluso después de la pandemia.

arrow_upward