FUSIONES Y ADQUISICIONES: CUANDO DOS COMPAÑÍAS Y GRUPOS APT SE UNEN
Con la compra de Beats por parte de Apple, las ofertas fallidas de Pfizer por
AstraZeneca y la propia adquisición de nPulse por parte de FireEye, el mes
pasado fue uno de los más caracterizados por las fusiones y adquisiciones. Por
supuesto, cuando leemos por primera vez los titulares sobre los planes de una
compañía de alto perfil por asociarse o comprar, nos apresuramos a pensar en
las implicaciones estratégicas y de la industria de tal acuerdo. Pero por
debajo de los interrogantes “¿qué pasaría si?” y “¿cuáles son las visiones de futuro?” está el
lado más oscuro de estos procesos de fusiones y adquisiciones, que no comentan
los titulares: la regularidad con que las compañías son vulneradas y datos
cruciales son robados cuando dos organizaciones de alto perfil esperan unirse.
En
los últimos años, la
preocupación por el espionaje económico ha
conducido a un mayor escrutinio de
las fusiones y adquisiciones de empresas
extranjeras, en particular en las
industrias con tecnologías sensibles y operaciones que puedan constituir amenazas económicas y de seguridad más amplias. Sin embargo, al entrar en una unión o adquisición con una empresa
extranjera no es la única forma
de los estados de realizar
espionaje económico a través de medios
cibernéticos, ni son los estados los únicos autores de robo
de propiedad intelectual en nuestras investigaciones.
Desde
nuestra experiencia en respuesta a estas vulnerabilidades, hemos visto a los
actores de amenazas específicas
que persiguen activamente a las empresas
involucradas en fusiones y compras en dos modalidades:
·
Violación de las redes de subsidiarias y/o partners de las compañías
fusionadas o adquiridas, para obtener
en última instancia el acceso al entorno
y a la información de cualquiera de las empresas en cuestión.
·
Comprometer y robar información de una empresa que está en conversaciones con otra compañía extranjera, con el fin de
proporcionar a esa contraparte una
ventaja privilegiada en las
negociaciones.
De un amigo a otro: aprovechar las relaciones
de confianza entre las empresas
Algunos
grupos de amenazas ponen en peligro el entorno de una organización y luego se
mueven lateralmente sobre una red
conectada a un socio o filial,
mientras que otros se basan en tácticas
de ingeniería social, tales como el uso de phishing emails que parecen provenir de
empleados de la empresa asociada.
Hemos visto grupos de amenazas con base en China, que previamente comprometen a
estos objetivos, por medio del aprovechamiento de las relaciones de confianza y
de las redes entre las compañías. Independientemente de su método de entrada, estos actores están a menudo en busca de lo mismo: la
propiedad intelectual y de la
información privada que pueden proporcionar
a sus empresas nativas con
una ventaja de negocio, ya sea a través de la adopción de la tecnología y de los productos del rival, consiguiendo precios beneficiosos
o cualquier otra estrategia que podría
darles una ventaja.
Investigamos un incidente en el que dos grupos de amenaza pusieron en peligro a una empresa poco después de que adquirió una filial.
Los actores utilizaron su acceso
a la red de la empresa inicial para
moverse lateralmente a la filial,
que había desarrollado recientemente un
proceso de patentamiento de propiedad para un significativo y
nuevo producto de salud. Una vez dentro de la red de la filial, los
grupos de amenazas robaron datos que
incluían detalles sobre los
resultados de las pruebas del
producto. Información que creemos
que los grupos de amenazas intentaron dar
a las empresas estatales chinas
para desarrollar su propia versión del producto innovador.
Hacer trampa en el Sistema: Ventajas internas en las negociaciones
También
hemos visto grupos de amenazas que comprometen las organizaciones extranjeras que participan
en la fusión o en conversaciones con entidades chinas,
probablemente en un intento de robo de
datos que podrían dar a los
negociadores y a los tomadores de decisiones, la información privilegiada y valiosa para
manipular sus resultados. A diferencia de otros tipos de operaciones de espionaje económico, los grupos de amenazas
de este tipo, por lo general, no están en la búsqueda de la propiedad
intelectual de una empresa. En
lugar de eso, estos actores buscan datos, tales como mensajes de correo
electrónico de ejecutivos, términos de negociación y planes de negocio e información. Es decir, todo lo que podría beneficiar a los negociadores al darles una
idea de la situación financiera de la empresa víctima y de la estrategia de negociación.
Durante
una investigación, encontramos
que un grupo amenaza con base en China había comprometido a una empresa que estaba en el proceso de adquisición de una filial de China, con un movimiento que
habría aumentado significativamente el
proceso de fabricación de la empresa víctima y su capacidad de comercio
minorista en el mercado chino. Los actores amenaza accedieron
a las cuentas de correo electrónico de varios empleados que
participaron en las negociaciones, en lo que probablemente fue la búsqueda de información relacionada con
el procedimiento. Creemos que el grupo de amenazas entonces usó la información robada para traspasarla a
los tomadores de decisiones chinos
involucrados en el proceso de adquisición,
ya que el gobierno chino terminó las conversaciones poco después que se produjo el robo de datos.
¿Qué
podemos esperar?
Las
empresas involucradas en fusiones y adquisiciones tienen que ser conscientes
de los riesgos que enfrentan de los actores de amenazas, los cuales intentan o
llevan a cabo el espionaje económico.
Al entrar en una fusión o adquisición
con una organización que no tiene
identificadas las intrusiones y sus redes no auditadas, coloca a la
empresa en situación de riesgo frente
a los actores de amenaza, quienes pueden estar esperando moverse hacia el objetivo recientemente integrado.
Del
mismo modo, las empresas y las firmas de abogados que las representan,
en las negociaciones con las empresas
chinas, se enfrentan a riesgos de
grupos de amenazas que intentan
proporcionar ventaja en las
negociaciones a las entidades chinas. El compromiso y
el espionaje económico puede tener
un profundo impacto en las finanzas
y la reputación de una empresa en cualquier momento, pero especialmente cuando se
juegan cientos de millones a
miles de millones de dólares en estos
procesos de compra y uniones de compañías.
En
muchos casos, además hay
cuestiones más amplias de la seguridad
nacional, por lo que es imprescindible
que las empresas traten de reconocer
y mitigar estos riesgos, como parte de sus procesos de fusiones y adquisiciones.
Incluso los gobiernos tratan a veces de
mitigar estos riesgos mediante la
realización de revisiones de seguridad nacional y en ocasiones rechazan ofertas basadas en sus hallazgos[i] . Múltiples países participan supuestamente en el espionaje económico, para hacer
un amplio y variado panorama de amenazas
que no pueden ser manejados por el
gobierno por sí solo. Por ejemplo, para
ver cuán diverso y lleno se está convirtiendo el panorama de las
amenazas dirigidas, consulte nuestro
blog recientes Molerats, Saffron Rose y Rusia y Ucrania
*APT: Amenaza Avanzada Persistente o APT, sigla para “Advance Persistent Threat”.
[i]“The Committee on Foreign Investment in the United
States (CFIUS).” U.S. Department of the Treasury. 20 Dec. 2012. Web. 28 May 2014.
No hay comentarios:
Publicar un comentario