#ARGENTINA
#DueDiligence6
#M&A
#Ransomware
julio 14, 2026

Imagine el siguiente caso: una empresa multinacional está a pocos días de concretar una adquisición cuando un ataque de ransomware paraliza por completo sus sistemas. Los ciberdelincuentes no solo impiden el acceso a información, sino que además amenazan con publicar datos confidenciales si no reciben un pago en criptomonedas. Lo que podría interpretarse como un incidente informático, rápidamente se transforma en un problema que involucra al directorio, a los asesores legales, a las áreas de compliance e incluso a autoridades regulatorias de distintos países. En los últimos años, el ransomware dejó de ser una preocupación exclusiva de los departamentos de tecnología para convertirse en un riesgo corporativo. Sus efectos interrumpen la actividad empresarial, pudiendo alterar la valuación de una compañía, modificar las condiciones de una negociación e, incluso, impedir que una operación de fusión o adquisición llegue a concretarse. Frente a este escenario, surge un interrogante ¿cómo debe responder jurídicamente una empresa cuando un ciberataque ocurre en plena negociación de una operación de M&A?
Tradicionalmente, el análisis jurídico de la empresa objetivo se concentraba en cuestiones societarias, tributarias, laborales o contractuales. Sin embargo, la creciente digitalización de los negocios modificó esa lógica. En la actualidad, gran parte del valor de una empresa reside en activos intangibles como sus bases de datos, la información estratégica, la propiedad intelectual, los secretos comerciales o los datos de sus clientes. Todos ellos pueden verse comprometidos en cuestión de horas como consecuencia de un incidente de ciberseguridad. Por lo tanto, la ciberseguridad pasó a ocupar un lugar cada vez más importante dentro del proceso de due diligence. Ya no alcanza con corroborar la situación societaria o la inexistencia de litigios relevantes. También resulta imprescindible conocer si la empresa sufrió incidentes de seguridad, cuáles fueron las medidas adoptadas para enfrentarlos, qué controles preventivos implementó y si de esos hechos derivan responsabilidades pendientes. El verdadero inconveniente del ransomware no radica únicamente en el ataque, sino en las decisiones que la compañía debe adoptar una vez ocurrido. Cada alternativa contiene riesgos distintos. Pagar el rescate puede generar conflictos vinculados con programas internacionales de sanciones económicas y con las propias políticas de cumplimiento de la empresa. Negarse a hacerlo, puede prolongar la interrupción de las operaciones, incrementar las pérdidas económicas y deteriorar el valor del negocio. La gestión de un incidente de ransomware deja de ser una cuestión técnica para ser una decisión estratégica de gobierno corporativo. El directorio debe actuar bajo una fuerte presión temporal, con información incompleta y evaluando consecuencias legales, financieras y reputacionales. Esa complejidad se intensifica cuando el ataque ocurre mientras una operación de M&A se encuentra en curso.
Desde la perspectiva del comprador, un incidente de estas características modifica la evaluación del riesgo de la empresa objetivo. La existencia de vulnerabilidades, deficiencias en materia de ciberseguridad o posibles incumplimientos regulatorios puede repercutir directamente sobre la valuación del negocio, dar lugar a una renegociación del precio o exigir mecanismos contractuales adicionales destinados a distribuir ese riesgo entre las partes. Por ello, el due diligence tecnológico dejó de ser un aspecto complementario de la transacción para convertirse en una instancia decisiva. Su finalidad ya no consiste únicamente en revisar
la infraestructura informática de la compañía, sino también en detectar contingencias que podrían manifestarse una vez perfeccionada la operación y generar importantes costos económicos o jurídicos para el adquirente. La posición del vendedor tampoco es simple. En este tipo de operaciones, el deber de informar adquiere una relevancia decisiva. Silenciar un incidente de ciberseguridad o minimizar sus consecuencias puede derivar, una vez cerrada la transacción, en conflictos por incumplimiento de las declaraciones y garantías (representations and warranties) asumidas en el contrato de compraventa. El ransomware es capaz de convertirse en un elemento que puede afectar la confianza entre las partes.
Uno de los aspectos más importantes es la relación entre el ransomware y los regímenes internacionales de sanciones económicas. La Office of Foreign Assets Control (OFAC) de los Estados Unidos ha advertido que el pago de rescates podría implicar transacciones con personas o entidades sujetas a sanciones, circunstancia que puede constituir una infracción a la normativa estadounidense. Esta advertencia obliga a muchas empresas a incorporar protocolos específicos dentro de sus programas de compliance, destinados a evaluar previamente las implicancias jurídicas de cualquier decisión vinculada con un ciberincidente.
En un contexto de operaciones transfronterizas, es frecuente que compañías radicadas en otros países deban considerar las directrices de la OFAC debido a la existencia de inversores extranjeros, activos ubicados en distintas jurisdicciones o vínculos comerciales con el mercado estadounidense. En consecuencia, un ataque de ransomware difícilmente pueda analizarse como un hecho aislado, sus efectos suelen proyectarse sobre múltiples sistemas jurídicos al mismo tiempo.
En Argentina, la creciente digitalización de las empresas también modificó la manera de abordar las operaciones de M&A. Si bien el ordenamiento jurídico prevé obligaciones vinculadas con la protección de datos personales y la seguridad de la información, un incidente de ransomware puede generar consecuencias directamente en la negociación entre las partes. Para el potencial adquirente, resulta indispensable verificar cómo fue gestionado el incidente, si la empresa cumplió con las obligaciones legales que eventualmente correspondan y si persisten riesgos capaces de comprometer el negocio una vez perfeccionada la operación. De allí que las auditorías de ciberseguridad han adquirido protagonismo dentro del due diligence, permitiendo evaluar no solo la infraestructura tecnológica de la empresa, sino también la madurez de sus sistemas de gestión de riesgos y de gobierno corporativo. Cuando esas evaluaciones revelan deficiencias, las consecuencias suelen reflejarse en el propio contrato de compraventa. Es habitual que las partes renegocien el precio, acuerden mecanismos de retención, amplíen las obligaciones o en situaciones especialmente graves, decidan no avanzar con la operación. En definitiva, la forma en que una empresa previene y gestiona un ciberataque puede influir de manera directa en el éxito o el fracaso de una transacción.
Las operaciones de M&A del siglo XXI demuestran que el valor de una empresa ya no depende exclusivamente de sus estados contables o de la calidad de sus activos materiales. La capacidad para proteger la información, responder frente a incidentes de ciberseguridad y gestionar adecuadamente los riesgos digitales constituye hoy un componente esencial de cualquier proceso de adquisición, por lo tanto, el abogado corporativo deja de intervenir únicamente cuando el conflicto ya se produjo. Su función consiste, cada vez más, en anticipar riesgos, diseñar estructuras de prevención, fortalecer los mecanismos de compliance y acompañar al directorio en la toma de decisiones. Lejos de ser una cuestión reservada al área de tecnología, la ciberseguridad pasó a integrar el núcleo de los asuntos jurídicos que condicionan el éxito de las operaciones corporativas contemporáneas.
BIBLIOGRAFÍA
U.S. Department of the Treasury – Office of Foreign Assets Control (OFAC). (2021).
Updated Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments.
https://ofac.treasury.gov/media/912981/download?inline
PricewaterhouseCoopers (PwC). (s. f.). When cyber threatens M&A
https://www.pwc.com/us/en/deals/publications/assets/pwc-when-cyber-threatens-m-and-a.pdf
Ley General de Sociedades Nº 19.550
Ley de protección de datos personales N° 25.326
Elaborado por: Sofía Maidana