Servicios de Ciberseguridad Gestionados: El CISO no asume la responsabilidad exclusiva
Benedikt Langer
8 Min. de lectura En muchas empresas, el CISO es considerado la persona responsable de la seguridad. ...
Leer artículo
⏱ 8 min. de lectura
Tres de cada cuatro acuerdos de M&A no alcanzan sus objetivos de valoración — y el motivo más común no son las finanzas, sino la TI. El Digital Due Diligence analiza sistemáticamente la arquitectura, el Tech Debt, la ciberseguridad y la calidad de los datos antes de la firma. Quienes dejan este flujo de trabajo a un lado, compran a ciegas.
Lo más importante en resumen
- 70-90 % de todas las transacciones de M&A no alcanzan sus objetivos de valoración — los problemas de integración de la TI son, según Bain y McKinsey, el motivo más común después del Cultural Fit.
- El Digital Due Diligence como flujo de trabajo igualitario: Seis dimensiones — arquitectura de TI, Tech Debt, madurez ciberseguridad, calidad de los datos, dependencias del equipo, Vendor-Lock-ins — deben analizarse antes de la firma.
- Deudas tecnológicas ocultas aumentan, según McKinsey Digital, los costos de TI del proyecto en un 10-20 % — hasta un 60 % de cada dólar de TI en integraciones mal preparadas.
- Tres señales rojas como mataproyecto: monolitos no documentados, falta de bases de seguridad y Vendor-Lock-ins propietarios sin cláusulas de salida.
- ROI de la verificación: Un Digital Due Diligence coste 0,1-0,3 % del precio de compra — y evita costos de integración que pueden ser mucho más.
Cuando la verificación de la TI falta: Tres casos reales
La historia de los desastres de M&A se lee como un libro de texto para la due diligence de TI que se ha dejado de lado. Hewlett-Packard adquirió en 2011 a Autonomy, una empresa de software británica, por 11,1 billones de dólares estadounidenses — y escribió un año después 8,8 billones. La due diligence había verificado las finanzas, pero no la sustancia tecnológica de la plataforma de manera suficientemente exhaustiva.
De manera similar, la adquisición de Nokia por Microsoft en 2013: 7,6 billones de dólares en precio de compra, 7,6 billones en depreciación. El ecosistema de smartphones no era competitivo desde el punto de vista tecnológico — un hallazgo que una exhaustiva Technical Due Diligence habría debido revelar. Y Broadcom lucha desde la adquisición de VMware por 69 billones de dólares en 2023 con problemas de integración, renuncias de clientes y aumentos de costos de licencias hasta un 400 %.
Lo que conecta estos casos: Las finanzas se verificaron, pero la tecnología no. Y exactamente este vacío se llena con el Digital Due Diligence.
La trampa del 70%: ¿por qué las M&A en la TI fallan?
McKinsey, Bain y BCG han encontrado resultados similares durante años: entre el 70% y el 90% de las transacciones de M&A no logran la creación de valor que se esperaba. La gama de resultados varía según la investigación y la definición de «éxito», pero la magnitud de la tendencia es consistente.
Lo que a menudo se pierde en los análisis: la causa rara vez es la evaluación financiera. Según la estudio de M&A de Deloitte, las integraciones fallan principalmente debido a diferencias culturales y a la incompatibilidad tecnológica. Cuando dos empresas se fusionan, es necesario consolidar sistemas ERP, migrar bases de datos CRM, combinar redes y armonizar arquitecturas de seguridad. Cada uno de estos proyectos puede llevar entre 12 y 24 meses – si no se planifica previamente, se puede producir un retraso significativo.
La Financial Due Diligence identifica riesgos en la contabilidad. La Legal Due Diligence encuentra fallos regulatorios. Pero ¿quién identifica los «tiempos bomba» tecnológicos? En la mayoría de las transacciones: nadie.
„La tecnología es el gran riesgo oculto en las M&A. La Financial Due Diligence te dice lo que la empresa ganó ayer. La tecnología Due Diligence te dice si puede ganar algo mañana.“
– Andy West, Socio Senior, McKinsey & Company (McKinsey M&A Insights, 2024)
¿Qué prueba la Due Diligencia Digital: Seis dimensiones
Una profesional Due Diligencia Digital examina seis dimensiones – cada una puede convertirse en un deal-breaker:
1. Arquitectura IT y escalabilidad. Monolito o microservicios? Nativo en la nube o legacy? Documentado o tribal knowledge? La arquitectura determinará la rapidez y los costos de una integración. Un stack bien documentado basado en API puede ser integrado en unos meses. Un monolito no documentado requiere a un equipo de desarrolladores completo durante años.
2. Deudas tecnológicas. Frameworks obsoletos, sistemas sin parches, pruebas faltantes, fragmentos de código sin plan de mantenimiento. McKinsey Digital calcula el Aumento de la deuda tecnológica del 10 al 20 por ciento por proyecto de TI. En objetivos de adquisición, este porcentaje es a menudo mucho mayor, ya que las deudas tecnológicas se ocultan de manera intencional. La Software Improvement Group encontró en un análisis de 531 M&A que en el 31 por ciento de los códigos adquiridos había una deuda tecnológica sustancial.
3. Madurez en ciberseguridad. ¿Hay pruebas de penetración? ¿Un plan de respuesta a incidentes? ¿Cifrado de punto a punto? Desde NIS2 y DORA, las lagunas de seguridad en objetivos de adquisición no son solo un riesgo operativo, sino regulativo. Una violación post-adquisición afecta al comprador.
4. Calidad de los datos y cumplimiento. Limpieza de los datos de los clientes, cumplimiento con la DSGVO, portabilidad de los datos. Quien adquiere datos de clientes también adquiere la responsabilidad. Faltantes mecanismos de eliminación o flujos de datos sin documentar a terceros pueden llevar a multas.
5. Equipos y distribución del conocimiento. Dependencias de personas clave son el riesgo más subestimado. Si tres personas manejan el 80 por ciento del conocimiento del sistema, cualquier despido es una crisis. La Due Diligencia debe determinar: ¿Cuántos miembros del equipo son indispensable, cuáles son sus incentivos para permanecer y cuán rápido podrían reemplazarlos?
6. Dependencias de proveedores. Plataformas propietarias, cláusulas de cambio de propiedad en contratos SaaS, costos de licencias que se triplican con el cambio de propietario. Oracle, SAP y otros proveedores empresariales tienen estas cláusulas por defecto – quien no las examina experimenta sorpresas costosas.
M&A-ERRORES
70-90 %
Todos los acuerdos fracasan sus objetivos de valoración (McKinsey/Bain/BCG)
COSTOS DE DEUDA TECNOLÓGICA
10-20 %
Aumento de costos por proyecto de TI debido a la deuda tecnológica (McKinsey Digital)
COSTOS DE DUE DILIGENCIA
0,1-0,3 %
Del precio de compra para Due Diligencia Digital (estándar de la industria)
¿Cómo identificar y evaluar correctamente las señales rojas?
Señal roja 1: Falta de documentación. Si la arquitectura solo existe en la mente de los miembros del equipo, cualquier planificación de integración es una especulación. En la práctica, esto significa que el equipo de compra debe invertir meses para entender lo que ha adquirido antes de comenzar con la integración.
Señal roja 2: Falta de pruebas automatizadas. La falta de pruebas significa que cada cambio es un viaje sin rumbo. La integración requiere cambios en interfaces, modelos de datos y autenticación. Sin cobertura de pruebas, cada ajuste será como jugar al roulette con la estabilidad de la producción.
Señal roja 3: Desarrollo monolítico en tecnología desfasada. PHP 5.6, .NET Framework 2.0, Java 6–estos stacks son más comunes de lo que parecen. Ellos obligan a reservar recursos de desarrollo durante años solo para mantenimiento. Una migración a tecnología moderna puede ser más costosa que una nueva desarrollación.
Cada señal roja individual debe ajustar el precio de la compra. Todas las tres juntas son un rompehielo del acuerdo–o requieren una reevaluación fundamental del caso de negocio de la integración.
Planificar la integración antes de la firma
Fase 1: Antes de la firma. La due diligence digital cuantifica los costos de integración. Reservar al menos del 5 al 15 por ciento del precio de la compra para la integración de TI–como una posición de presupuesto propia, no como un subpresupuesto en el presupuesto operativo. El CIO debe estar en el equipo de negocios desde el primer día, no solo informado después del cierre.
Fase 2: Desde la firma hasta el cierre. Crear un roadmap de integración detallado: ¿qué sistemas se consolidarán, cuáles continuarán operando de forma paralela? El CIO del comprador trabaja directamente con el equipo técnico del objetivo de adquisición. Identificar riesgos personales críticos y preparar paquetes de retención–antes del primer día, no después.
Fase 3: Primeros 100 días. Medidas de seguridad rápidas: segmentación de red, consolidación de permisos de acceso, armonización de planes de respuesta a incidentes. Luego, estabilización. No replatforming precipitado. La regla dorada: Adquirir por valor, no por velocidad de integración. Quien reconstruye la plataforma en los primeros 100 días desestabiliza lo que ha pagado por.
Cuánto cuesta una due diligence digital y qué evita
Una due diligence digital profesional puede costar entre 30.000 y 150.000 euros–dependiendo de la complejidad de la panorama de TI del objetivo de adquisición. En un acuerdo en el rango de los millones de tres cifras, esto es del 0,1 al 0,3 por ciento del precio de la compra.
Lo que evita: costos de integración que superen drásticamente el presupuesto planeado, violaciones de seguridad que pueden costar millones, pérdida de clave personal que retrasen proyectos por años, y riesgos regulatorios debido a lagunas de cumplimiento adoptadas. El ROI de una due diligence digital es generalmente del 10:1 o más.
La alternativa–comprar sin una verificación técnica–es como comprar una casa sin un informe de inspección. La fachada puede brillar, pero las líneas de alimentación detrás pueden contar una historia diferente.
Preguntas frecuentes
¿Cuánto cuesta una Due Diligencia Digital y ¿es rentable en transacciones pequeñas?
30.000 a 150.000 euros en transacciones del sector de dos a tres millones – esto equivale a 0,1 a 0,3 por ciento del precio de compra. También es rentable realizar un chequeo técnico práctico de 10.000 a 20.000 euros en adquisiciones más pequeñas (5-20 millones de euros). Las sorpresas más comunes – dependencias no documentadas, contratos de licencia en curso con cláusulas de cambio de propiedad, falta de cumplimiento de la DSGVO – pueden surgir independientemente del tamaño de la transacción.
¿Cuánto tiempo lleva una Due Diligencia Digital?
Dos a cuatro semanas con una preparación adecuada de los datos y un alianzado objetivo. En entornos complejos con múltiples sistemas y ubicaciones o equipos internacionales, hasta seis semanas. El factor crítico no es el análisis, sino el acceso: si el objetivo no proporciona información de manera rápida y eficiente, el proceso se prolongará – lo que puede ser un indicador de advertencia.
¿Debe retirarse del acuerdo en caso de advertencias rojas?
No automáticamente. Las advertencias rojas son primero herramientas de negociación: reducción del precio de compra, reservas para costos de integración, garantías técnicas en el contrato de compra (Representaciones y Garantías), o cuentas de escrow para riesgos IT posteriores. Se recomienda retirarse si los costos de integración estimados superan el valor estratégico de la adquisición – o si el objetivo no colabora en la verificación técnica.
¿Quién lleva a cabo una Due Diligencia Digital?
Consultorías especializadas como McKinsey Digital, Bain, BCG, EY-Parthenon o boutique técnicas en DD. Es importante: el equipo requiere experiencia en M&A y conocimientos técnicos. Un equipo de consultoría estratégica pura no identificará riesgos arquitectónicos, y un equipo técnico pura no los puede traducir en impacto de transacción. Los mejores equipos combinan CTOs experimentados con especialistas en asesoramiento de transacciones.
¿Cómo cambia la Due Diligencia Digital con la IA?
Herramientas de análisis de código basadas en IA pueden identificar de manera mucho más rápida deudas tecnológicas y riesgos arquitectónicos que revisiones manuales. Scans automatizados pueden detectar dependencias obsoletas, vulnerabilidades de seguridad y problemas de calidad del código en horas, no semanas. Aunque la evaluación estratégica – ¿de qué manera afectan los hallazgos el valor de la transacción? – sigue siendo una tarea humana. La IA acelera el análisis, pero no reemplaza la interpretación.
Lectura complementaria en la red
- → CIO Agenda 2026: Entre presión económica y obligación de innovación – ¿Por qué la estrategia de TI debe estar en la agenda del consejo de administración? (Digital Chiefs)
- → Consejo de administración digital: Competencia en tecnología en el consejo – ¿Por qué la experticia en tecnología es crucial para la supervivencia en el consejo de administración? (Digital Chiefs)
- → EU AI Act 2026: Lo que las empresas deben implementar ahora – Cumplimiento regulatorio como factor de due diligence (Digital Chiefs)
- → DORA y NIS2 al mismo tiempo: Doble presión de cumplimiento – Revisar cumplimiento de seguridad en objetivos de M&A (SecurityToday)
Fuente de la imagen del título: Unsplash / Sebastian Herrmann