CIBERSEGURIDAD EN FUSIONES Y ADQUISICIONES:  LA FUNCIÓN ESTRATÉGICA DEL DUE DILIGENCE EN LA GESTIÓN DE RIESGOS 

Por: Daniel Peña Valenzuela^[1]

La creciente sofisticación y frecuencia de los ciberataques, el deber de cumplimiento de obligaciones legales y regulatorios, la puesta en práctica de políticas internas de ciberseguridad que impactan las actividades diarias junto con la aplicación de las leyes de protección de datos, obligan a las empresas a incorporar análisis y evaluaciones de ciberseguridad en sus análisis previos a una transacción M&A.

La inclusión de la ciberseguridad en el due diligence de M&A responde a la necesidad de proteger los activos digitales y la información sensible de las empresas involucradas, y asegura que la integración empresarial esté a tono con el cumplimiento con las normas pertinentes y de manera aún más relevante a proteger la reputación corporativa. La identificación y mitigación de vulnerabilidades cibernéticas durante el proceso de debida diligencia en la etapa precontractual permite a las empresas anticipar y gestionar riesgos digitales que podrían comprometer la transacción. Este enfoque permite poner en marcha una herramienta para garantizar la continuidad operativa y la resiliencia frente a posibles incidentes de seguridad así como para identificar posibles contingencias derivadas de incidentes digitales pasados o en curso.

1. Fundamentos de la Ciberseguridad en Fusiones y Adquisiciones

Las amenazas cibernéticas se han convertido en parte de la vida cotidiana de las empresas, pueden incluir desde ataques de ransomware, suplantación de identidad corporativa hasta el robo de propiedad intelectual o de secretos empresariales.  De no llevarse a cabo una gestión eficiente de riesgos de seguridad digital, las consecuencias pueden ser devastadoras para las empresas involucradas en M&A. 

Las empresas deben estar preparadas para enfrentar una amplia gama de amenazas cibernéticas, desde ataques dirigidos hasta vulnerabilidades internas por fallas en la ingeniería social como entrega de contraseñas como consecuencia de engaños. La capacidad de una empresa para gestionar estos riesgos puede influir significativamente en la valoración y el éxito de una transacción de M&A. Por lo tanto, en la actual transformación digital empresarial, la ciberseguridad debe ser una prioridad en todas las etapas del proceso de due diligence, desde la evaluación inicial hasta la integración post-adquisición.

El alcance de la ciberseguridad en el contexto de M&A se traduce en la revisión sistemática de documentos y temas específicos como las políticas internas de seguridad, el inventario de activos digitales, las evaluaciones previas de vulnerabilidades, el cumplimiento normativo, los contratos con proveedores tecnológicos, el historial de incidentes, los protocolos de gestión de accesos, los planes de integración tecnológica y el seguro de riesgos cibernéticos, garantizando así la adecuada protección de los activos digitales y la preservación de la integridad y confidencialidad de la información en el proceso de adquisición.

2. Proceso de Due Diligence en Ciberseguridad

El proceso de due diligence en ciberseguridad debe comenzar con una completa evaluación de la infraestructura de TI de la empresa objetivo, incluyendo hardware, software, aplicaciones, bases de datos y redes. Además, se deben revisar las políticas y procedimientos de seguridad digital y de protección de datos personales para asegurarse de que existen protocolos adecuados de respuesta a incidentes y planes de continuidad y entrenamiento adecuado al personal. La gestión de riesgos trae consigo la identificación adecuada de vulnerabilidades y amenazas potenciales, así como la realización de auditorías de seguridad y pruebas de penetración a los sistemas de información para evaluar la efectividad real de las medidas de seguridad existentes. Este enfoque proactivo permite a las empresas adquirentes identificar posibles brechas de seguridad y desarrollar estrategias para mitigarlas antes de que se conviertan en problemas de alcance significativo.

Un due diligence jurídico y de cumplimiento abarca la revisión integral de la estructura corporativa, contratos, litigios, propiedad intelectual, relaciones laborales, cumplimiento normativo (SAGRILAFT/AML), y el cumplimiento tributario para identificar riesgos y contingencias antes de una transacción. Analiza estatutos, licencias, cumplimiento de datos personales, garantías, gravámenes y litigios, asegurando que la empresa opera de acuerdo con el ordenamiento jurídico. 

El due diligence permite la redacción adecuada de los covenants contractuales relacionados con la ciberseguridad en el contrato de adquisión o fusión (SPA^[2] o APA^[3]) para proteger los intereses de ambas partes involucradas. Estos covenants pueden incluir cláusulas que obligan a la empresa adquirida a mantener ciertos estándares de ciberseguridad, adquirir ciertas herramientas o soluciones informáticas, modificar ciertas prácticas o complementar las políticas de seguridad digital antes de la finalización de la transacción. Además, pueden requerir la implementación de medidas específicas para mitigar riesgos cibernéticos identificados durante el proceso de due diligence como por ejemplo cifrar información sensible. La inclusión de estos covenants ayuda a asegurar que la empresa adquirida no se convierta en una fuente de vulnerabilidades que puedan afectar negativamente a la empresa compradora

Las revelaciones de ciberseguridad también tienen como base los resultados de la debida diligencia. Durante una transacción de M&A, antes del cierre contractual la empresa adquirida debe revelar cualquier brecha o incidente de seguridad que les haya afectado, así como sus políticas y procedimientos de ciberseguridad actuales. Esta información permite a la empresa compradora evaluar los riesgos potenciales y tomar decisiones informadas sobre la transacción. Es evidente que no sería necesario informar los intentos fallidos de atacantes que en muchos casos pueden sobrepasar cientos o miles sino limitarse a aquellos incidentes que realmente constituyeron la concreción de una potencial amenaza. En lo posible deben identificarse con la magnitud y alcance, así como con las circunstancias de tiempo, modo y lugar de ocurrencia así como, si se conoce, quien fue el autor o responsable del mismo.

La integración de las empresas después de una fusión o adquisición requiere que ambas empresas trabajen juntas y que sus equipos de trabajo interno o en outsourcing tecnológico cooperen para armonizar sus políticas, procedimientos y prácticas de seguridad cibernética. Esto puede incluir la actualización de sistemas y la capacitación de empleados para garantizar que todos estén al tanto de las mejores prácticas de ciberseguridad.

3. Ciberseguridad y control de integraciones

La evaluación de integraciones empresariales ha estado históricamente centrada en aspectos de competencia, precios y barreras de entrada. Sin embargo, en el entorno digital actual, la ciberseguridad se ha convertido en un criterio transversal que puede condicionar la viabilidad y legitimidad de las operaciones de concentración. La Superintendencia de Industria y Comercio (SIC), en su rol de autoridad de control, enfrenta el desafío de incorporar este elemento en el análisis de fusiones y adquisiciones, pues la protección de datos, la resiliencia tecnológica y la confianza pública son factores que trascienden lo técnico y se proyectan en el plano jurídico y económico.

El due diligence de ciberseguridad en fusiones y adquisiciones exige verificar si las empresas involucradas cumplen con estándares adecuados de protección de datos personales, conforme a la Ley 1581 de 2012. La integración de bases de datos masivas puede incrementar el riesgo de fuga o acceso indebido, lo que convierte la seguridad digital en un asunto de derechos fundamentales y no solo de eficiencia empresarial. En sectores estratégicos como el financiero, la salud o las telecomunicaciones, la vulnerabilidad cibernética puede comprometer la continuidad de servicios críticos, afectando la estabilidad del mercado y la confianza de los usuarios.

Otro aspecto relevante es el riesgo de concentración tecnológica. Una integración puede derivar en que un solo actor controle infraestructuras digitales críticas, aumentando la exposición a ataques y reduciendo la resiliencia del ecosistema. Este fenómeno obliga a la SIC a valorar no solo la estructura competitiva del mercado, sino también la seguridad colectiva frente a incidentes cibernéticos. En operaciones con dimensión transnacional, el due diligence debe extenderse a la verificación del cumplimiento de estándares internacionales como ISO/IEC 27001 o los marcos del NIST, pues la falta de alineación puede generar conflictos regulatorios y sanciones internacionales.

La ciberseguridad también incide directamente en la competencia. Una empresa con baja inversión en seguridad digital que se fusiona con otra más robusta puede alterar el equilibrio del mercado. En estos casos, la autoridad puede condicionar la operación a la adopción de protocolos mínimos de seguridad, evitando que la debilidad tecnológica se convierta en una ventaja desleal o en un riesgo sistémico. El ejemplo de las plataformas de e-commerce es ilustrativo: la unión de bases de datos masivas incrementa el riesgo de ataques, la infraestructura conjunta debe cumplir estándares de protección y la confianza de los consumidores depende de la solidez de los sistemas de seguridad.

En suma, el due diligence de ciberseguridad en fusiones y adquisiciones no es un requisito accesorio, sino un elemento central en la legitimidad de las operaciones. La SIC debe integrar esta dimensión en su análisis, reconociendo que la ciberseguridad es un factor de confianza pública, estabilidad del mercado y protección de derechos fundamentales. En la economía digital, la seguridad informática se convierte en un criterio regulatorio indispensable, capaz de redefinir el paradigma del control de integraciones empresariales.

4. Integración y Mejores Prácticas Posadquisición

Una vez completada la adquisición, la integración de las prácticas de ciberseguridad tiene como objetivo mantener la seguridad digital a largo plazo. La integración de sistemas y redes debe realizarse de manera segura y eficiente para evitar la introducción de nuevas vulnerabilidades. El due diligence en ciberseguridad debe traducirse en la actualización de las cláusulas contractuales con proveedores, incorporando obligaciones claras sobre estándares de protección, auditorías y respuesta a incidentes, de modo que los riesgos identificados se gestionen jurídicamente y se asegure el cumplimiento normativo en un entorno digital cambiante.

Además, es fundamental definir una serie de medidas jurídicas y documentos que permitan en cláusulas contractuales implementar programas de capacitación y concientización en ciberseguridad para todos los empleados, fomentando una cultura de seguridad dentro de la organización. La capacitación adecuada puede prevenir errores humanos que podrían comprometer la seguridad de la empresa. El monitoreo continuo y la mejora de las medidas de seguridad son esenciales para adaptarse a las amenazas cibernéticas en constante evolución. 

La integración segura y eficiente de sistemas y redes es un paso crítico desde el punto de vista tecnológico en el proceso posadquisición. Desde el punto de vista jurídico, debe existir el respaldo en cuanto al licenciamiento que ampare los derechos y prerrogativas necesarios para el despliegue tecnológico. Desde una perspectiva jurídica, esto implica también la obligación de las empresas de cumplir con las leyes, regulaciones y estipulaciones contractuales en materia de ciberseguridad. 

Los sistemas de monitoreo permiten detectar y responder rápidamente a incidentes, mientras que la actualización constante de políticas asegura preparación frente a nuevas amenazas y alineación con normas y estándares. Integrar ambos elementos configura un enfoque integral que refuerza la resiliencia, protege la integridad de los datos y reduce riesgos legales y reputacionales.

El análisis corporativo sobre el estado de la ciberseguridad impacta a todas las organizaciones, independientemente de su nivel de transformación digital. Aunque las empresas con operaciones altamente digitalizadas suelen ser las más expuestas a riesgos tecnológicos, aquellas con un bajo grado de digitalización no están exentas de amenazas, pues la interconexión mínima con sistemas financieros, proveedores, clientes o plataformas gubernamentales ya las inserta en un ecosistema vulnerable. La ciberseguridad, en este sentido, se configura como un componente estratégico de la gobernanza corporativa, dado que la protección de datos, la continuidad operativa y la confianza institucional dependen de la capacidad de anticipar, evaluar y mitigar riesgos digitales en cualquier sector económico.

Además, el estado de la ciberseguridad corporativa refleja un indicador de resiliencia organizacional y de cumplimiento normativo, especialmente en contextos donde las regulaciones internacionales y nacionales exigen estándares mínimos de protección. Incluso las empresas con baja transformación digital enfrentan riesgos reputacionales si no implementan políticas básicas de seguridad informática, como la gestión de accesos, la protección de información sensible o la capacitación de su personal. Por ello, el análisis corporativo de ciberseguridad no debe entenderse como un ejercicio exclusivo de las industrias tecnológicas, sino como una práctica cada vez más imperativa para todas las organizaciones que buscan garantizar su sostenibilidad, credibilidad y competitividad en un entorno global cada vez más interconectado.

Conclusiones

1. La inclusión de la ciberseguridad en la etapa precontractual del proceso de due diligence de M&A es esencial para proteger los activos digitales y la información sensible de las empresas involucradas. La creciente sofisticación de los ciberataques y el endurecimiento de las leyes de protección de datos han obligado a las empresas a incorporar evaluaciones de ciberseguridad en sus análisis precontractuales. Este enfoque proactivo garantiza la continuidad operativa y la resiliencia frente a posibles incidentes de seguridad.
2. El proceso de due diligence en ciberseguridad debe ser minucioso, abarcando todos los componentes tecnológicos de la empresa objetivo. La evaluación de la infraestructura de TI, la revisión de las políticas de seguridad y la gestión de riesgos cibernéticos son aspectos cruciales. Las auditorías de seguridad y las pruebas de penetración son herramientas esenciales para evaluar la efectividad de las medidas de seguridad existentes y para identificar posibles brechas.
3. La integración de prácticas de ciberseguridad posteriores al cierre de la adquisición es fundamental para mantener la seguridad a largo plazo. La integración segura de sistemas y redes, junto con programas de capacitación en ciberseguridad, fomenta una cultura de seguridad dentro de la organización. Además, el monitoreo continuo y la actualización regular de políticas de ciberseguridad aseguran que las empresas se adapten a las amenazas en constante evolución, cumpliendo con las normativas vigentes y fortaleciendo su resiliencia frente a futuros desafíos. Un enfoque holístico y dinámico en ciberseguridad es esencial para minimizar riesgos legales y reputacionales, garantizando así la sostenibilidad y el éxito a largo plazo de la organización.

BIBLIOGRAFÍA DE REFERENCIA

1. Bissell, K., Lasalle, R., & Dal Cin, P. (2019). The cost of cybercrime: Ninth annual cost of cybercrime study. Accenture Security.
2. Deloitte. (2021). Role of cybersecurity in M&A. Deloitte Insights.
3. Ernst & Young. (2018). Cybersecurity in mergers and acquisitions: Managing the risk. EY Global.
4. Forescout. (2020). Cybersecurity in merger and acquisition report. Forescout Technologies.
5. García, J. (2017). Ciberseguridad en procesos de fusión y adquisición: Un enfoque integral. Revista de Seguridad Informática, 12(3), 45-58.
6. González, M. (2019). La importancia de la ciberseguridad en las fusiones y adquisiciones. Revista de Derecho y Tecnología, 15(2), 67-80.
7. KPMG. (2016). Cyber due diligence: A critical component of M&A transactions. KPMG International.
8. López, A. (2020). Evaluación de riesgos cibernéticos en fusiones y adquisiciones. Revista de Ciberseguridad, 8(1), 23-35.
9. Okafor, R. C. (2021). Cybersecurity due diligence in mergers & acquisitions transactions. SSRN.
10. Pandey, N., & Rajoriya, K. K. (2023). An analysis of cyber threat in the merger and acquisition process and the role of cybersecurity for a successful merger. International Journal of Financial Management and Research, 4(1), 1-15.
11. PwC. (2017). M&A integration: Cybersecurity considerations. PwC Global.
12. Smith, J. (2015). Cybersecurity and mergers: Protecting digital assets. Journal of Business Security, 10(4), 112-125.
13. Thales Group. (2018). Cybersecurity in M&A: Protecting value in the digital age. Thales White Paper.
14. Torres, L. (2016). Ciberseguridad en la integración post-adquisición. Revista de Tecnología Empresarial, 9(2), 89-102.
15. WTW. (2024). Cybersecurity considerations in merger and acquisitions transactions: An in-depth analysis. Willis Towers Watson.

---

^[1] Candidato a Doctor (PhD) en Derecho, Universidad Externado; Abogado, Universidad Externado; Maestría en “Propriété Intellectuelle, Accords Industriels et Droit des Nouvelles Technologies” (D.E.S.S.) de la Université Grenoble Alpes, Francia; Máster en Leyes (LLM) con énfasis en “Corporate and Commercial Law” de la Universidad de Londres-University College London, UCL; Curso de Derecho Internacional en la Academia de Derecho Internacional, La Haya, Países Bajos); Diplomado en Arbitraje Internacional por la ICC Advanced Arbitration Academy for Latin America de la Cámara de Comercio Internacional.

Docente de pregrado y posgrado en las facultades de Derecho, Administración de Empresas, Finanzas y Gobierno e Investigador del Departamento de Derecho de la Empresa y los Mercados de la Universidad Externado de Colombia. 

Árbitro de las Cámaras de Comercio de Bogotá y Medellín. Árbitro del Centro de Arbitraje Empresarial de la Superintendencia de Sociedades y del Centro de Arbitraje de la Dirección Nacional de Derecho de Autor. Panelista de nombres de dominio de Internet del Centro de Arbitraje y Mediación de la Organización Mundial de la Propiedad Intelectual OMPI y del National Arbitration Forum. Miembro de las Comisiones de Propiedad Intelectual y Economía Digital de la Cámara de Comercio Internacional.

Socio fundador de Peña Mancero Abogados.

^[2] Stock Purchase Agreement

^[3] Asset Purchase Agreement