Cyber Due Diligence en M&A: Antes de Firmar
Evaluación cibernética de la empresa-target: vulnerabilidades explotables, exposición de dato, incidente histórico, compliance, contingencia financiera de multa.
Por qué ahora
El dolor real
Comprador descubre después del closing que la target tiene dump de 3M de clientes en la deep web, multa LGPD en curso y ransomware ocurrido hace 6 meses no divulgado. Earn-out se vuelve acción judicial. Cyber due diligence pre-firma blinda al comprador y se vuelve material de negociación de precio.
Contexto y regulación
/superficie-de-ataque
Due Diligence M&A
Cada compromiso se diseña para su entorno. Los puntos a continuación son parte de nuestro playbook estándar para este sector — el alcance final se adapta a su stack y contrato.
Inventario de superficie externa
ASM completo de la target: dominios, subdominios, cloud assets, exposiciones WAN.
Pentest muestral de producción
Bajo NDA: pentest enfocado en los sistemas que sustentan la receta declarada en la DD.
Threat intel: incidente histórico
Verificación en deep/dark web, foros criminales, base de breach. ¿La target ya filtró en el pasado?
Madurez de SOC y compliance
Existencia de pentest pasado, SOC, EDR, política de seguridad, entrenamiento. Capacidades reales.
Análisis de procesos LGPD/GDPR/ANPD
Multa en curso, TAC con ANPD, acción colectiva — pasivos cibernéticos contingentes.
Análisis de third-party
Qué proveedores críticos usa la target, contratos, SLA, riesgo heredado por el comprador.
Recomendación de cláusula contractual
Cyber rep & warranty, indemnización específica, retención de earn-out condicionada a remediación.
/metodologia
Pentest manual de verdad
Los escáneres automatizados encuentran lo documentado. Los atacantes reales encuentran lo que no lo está. El 90% del trabajo es manual — realizado por especialistas con OSCP, CISSP, CRTO y GPEN.
01 · Reconocimiento
Mapeo del objetivo, OSINT, footprint, modelado de amenazas específico del sector.
02 · Descubrimiento
Enumeración profunda, escaneo complementario, identificación manual de exposición.
03 · Explotación
Validación manual con PoC controlada, encadenamiento de hallazgos, escalación.
04 · Informe
Ejecutivo + técnico, reproducción paso a paso, mapeado a la regulación aplicable.
/por-que-confiar
Quiénes han confiado en nuestro trabajo
Trabajo confidencial en transacciones en sector financiero, salud y SaaS B2B. Output usado para negociación de precio y estructuración de earn-out.
Evaluación técnica reconocida en entornos regulados de alta criticidad — el pentest que encuentra lo que nadie había encontrado antes.
Douglas Lopes
Founder · CEO · intrus.io
/crivo · programa de integridad
de los candidatos a pentester reprueban nuestro Crivo
¿Sabes quién va a tener acceso a tu ambiente?
El NDA vale en el tribunal. No vale en el día a día. Antes del primer acceso, todo pentester nuestro pasa por background, perfil psicométrico y prueba de integridad.
- Verificación criminal, fiscal y profesional profunda
- Evaluación psicométrica y perfil de riesgo
- Prueba de integridad práctica con escenarios controlados
- Equipo fijo — no rotativo, sin 'desconocido en cada engagement'
/faq
FAQ — Due Diligence M&A
¿La empresa-target sabe que está siendo auditada?
Depende de la estructura. En "green light" DD, sí — colaborativo con data room. En DD adversarial (rara fuera de hostile takeover), solo con activos públicos vía ASM/OSINT.
¿Cuánto dura y cuánto cuesta?
3-6 semanas para DD completo. R$ 80-250k dependiendo del tamaño de la target. Típicamente 0,5-2% del enterprise value, retorna 5-50x en negociación.
¿El resultado puede bloquear el deal?
Técnicamente sí, pero es raro. Lo más común es alimentar ajuste de precio, retención de earn-out, indemnización específica o cláusula de remediación post-closing.
¿Hablan con el despacho jurídico del deal?
Sí. Frecuentemente coordinamos entregables con Pinheiro Neto, Mattos Filho, Demarest, BMA, Veirano.
/contacto
DD cibernética confidencial
Programe una reunión confidencial. En hasta 48h enviamos la propuesta con alcance, plazo y precio.