OSINT para due diligence pre-adquisición

Sector

Tecnología B2B · adquirente con operaciones en Europa Occidental · target startup en fase de crecimiento · operación M&A no anunciada.

Situación inicial

El equipo de M&A del adquirente necesitaba complementar la due diligence financiera y legal con una lectura técnica independiente del target, sin contacto directo con su equipo de seguridad y antes de que la operación se hiciera pública. El plazo de entrega era corto y la confidencialidad absoluta.

Aproximación

Diseñamos una due diligence OSINT estructurada en cinco bloques: postura técnica externa (subdominios, certificados, servicios expuestos, configuraciones débiles), higiene de código y secretos en repositorios públicos, exposición de credenciales en brechas históricas asociadas al dominio corporativo y proveedores conocidos, reputación y trazabilidad de equipo técnico clave, y postura de cumplimiento declarada versus evidencia pública. Toda la actividad fue pasiva o de bajo perfil, sin tocar activos del target.

Resultado

Entregamos un informe con 8 hallazgos críticos (3 con impacto directo en valoración de la operación) y 14 hallazgos medios. Los hallazgos críticos derivaron en cláusulas específicas de representación y garantía en el acuerdo final, además de un plan de integración de 90 días post-cierre.

Aprendizaje

La superficie pública de una compañía dice más sobre su madurez de seguridad real que cualquier cuestionario auto-declarativo.

Tiempo y esfuerzo

2-3 semanas · 40-60 horas de consultoría · informe ejecutivo + informe técnico + matriz de hallazgos.