Due Diligence TI en 2026: checklist técnico y criterios de evaluación

Due Diligence TI en 2026: checklist técnico y criterios de evaluación
  • febrero 11, 2026
  • 0 Comments
  • By

Miguel Ángel Tomé

Chief Technology Officer

Introducción

La Due Diligence tecnológica en 2026 exige un enfoque técnico, sistemático y verificable que integre controles de seguridad, gobernanza de datos, evaluación de modelos de IA, análisis del software y valoración económica. Las adquisiciones, inversiones y fusiones requieren hoy más que nunca evidencia cuantitativa y cualitativa que permita: (i) cuantificar riesgos técnicos, (ii) estimar costes de remediación y (iii) proyectar impacto operativo y regulatorio en horizonte plurianual. Este documento presenta un marco de evaluación ampliado, checklist operativo y métricas clave para auditar activos TI con rigor profesional.

Marco metodológico y alcance de la Due Diligence TI

Objetivos operativos

  1. Identificar y clasificar activos tecnológicos críticos.
  2. Cuantificar riesgos técnicos y regulatorios (impacto y probabilidad).
  3. Estimar el coste y tiempo de mitigación y su implicación en valoración.
  4. Verificar capacidades operativas y de respuesta ante incidentes.

Fases recomendadas

Arquitectura tecnológica: criterios de evaluación y métricas

Elementos a auditar

  • Topología de despliegue: on-premises, cloud pública/privada, multicloud o edge. Evaluar consistencia en políticas de seguridad y monitorización entre entornos.
  • Infraestructura como código (IaC): repositorios, prácticas de versionado, políticas de branching, pruebas automatizadas de IaC y escaneo de configuraciones inseguras.
  • Microservicios y basamento de integración: latencia entre servicios, tolerancia a fallos, circuit breakers, y dependencia de APIs externas.
  • Escalabilidad funcional y técnica: métricas de carga actuales y pruebas de estrés documentadas (RPS, latencia p95/p99, utilización CPU/RAM).

Métricas cuantitativas recomendadas

  • Porcentaje de infraestructura escalable horizontalmente.
  • Número de dependencias externas críticas con SLA > 99.9%.
  • Cobertura de IaC por entorno (dev/stage/prod) en % de recursos gestionados.

Inteligencia artificial y modelos: inventario, gobernanza y riesgo

La integración de IA es transversal: desde automatización de procesos hasta componentes de decisión. Es imprescindible auditar el ciclo de vida completo del modelo (ML-Ops / ModelOps).

Checklist técnico para modelos IA

  • Inventario completo de modelos: objetivo, inputs/outputs, propietarios, datasets de entrenamiento y su procedencia.
  • Trazabilidad (lineage) y versionado: identificador único por versión, métricas de rendimiento históricas, tests de regresión.
  • Pruebas de robustez y adversarial testing: sensibilidad a entradas límite, sesgos desplegados y stress tests ante inputs no previstos.
  • Deriva (drift) y monitorización post-despliegue: métricas para detectar drift de datos y performance (drift score, AUC temporal).
  • Controles de privacidad en entrenamiento: consentimientos, bases legales, anonimización/seudonimización y uso de datos de terceros.
  • Dependencias en GP-AI y servicios externos: contratos, mecanismos de responsabilidad y pruebas de degradación si la API cae.

Nota regulatoria: la normativa europea sobre IA (AI Act) introduce obligaciones de gobernanza, transparencia y mitigación de riesgo que deben considerarse en la Due Diligence, especialmente para modelos de alto riesgo y general-purpose AI.

Ciberseguridad y resiliencia: evaluación basada en evidencias

La evaluación debe apoyarse en frameworks de referencia y prácticas controlables.

Elementos críticos

  • Marco de seguridad adoptado: referencia y mapeo contra NIST CSF 2.0, ISO 27001 o frameworks sectoriales; medición de madurez por dominios (identificar, proteger, detectar, responder, recuperar).
  • Zero Trust: diseño, segmentación de red, verificación continua y políticas de least privilege; mapa de implementación frente a CISA/NIST guidance. 
  • Detección y respuesta (XDR/EDR/SOC): tiempo medio de detección (MTTD) y tiempo medio de respuesta (MTTR) medidos y SLA del SOC.
  • Gestión de identidades y accesos (IAM/CIAM): implementación de MFA/Multi-Factor, gestión de privilegios y rotación de claves.
  • Historial de incidentes: root causes, tiempos de contención, impactos financieros y lecciones incorporadas.
  • Seguridad en la supply chain de software: SBOM, políticas de evaluación de terceros, y pruebas de integridad de artefactos. 

Pruebas recomendadas

  • Pentesting externo e interno (red, aplicación, cloud) con evidencia de remediación.
  • Ejecución de tabletop exercises y drills de recuperación para validar BCP/DRP.

Revisión de software: código, dependencias y calidad del desarrollo

Análisis técnico a realizar

  • Revisión estática y dinámica de código (SAST/DAST): cobertura de pruebas unitarias, integración continua y resultados de escaneos SAST/DAST.
  • Software Composition Analysis (SCA) y SBOM: identificación de componentes OSS, vulnerabilidades CVE abiertas, licencias conflictivas y trazabilidad de versiones.
  • Pipeline de CI/CD y prácticas DevSecOps: integración de seguridad en pipelines, gates automáticos para vulnerabilidades, secret scanning y hardening de artefactos. 
  • Deuda técnica y mantenibilidad: métricas como cyclomatic complexity, technical debt ratio y estimación de esfuerzo para refactorización.
  • Políticas de testing de IA-asistida en desarrollo: controles para validar sugerencias generadas por herramientas de IA y evitar introducción de vulnerabilidades por autocompletado.

Gestión del dato y cumplimiento normativo

Auditoría del dato

  • Inventario y clasificación: catálogo de datos, propietario, sensibilidad, localización física y legal.
  • Flujos y transfers internacionales: análisis de transferencias a terceros países y mecanismos jurídicos (SCCs, decisiones de adecuación).
  • Privacidad por diseño: evidencia de Data Protection Impact Assessments (DPIAs) en sistemas de alto riesgo.
  • Retención y eliminación: políticas ejecutables y pruebas de eliminación segura.

Particularmente en la UE, las obligaciones del AI Act y la madurez del RGPD generan requisitos complementarios sobre transparencia, documentación y controles de privacidad que deben considerarse en la valoración del riesgo regulatorio. 

Cadena de suministro tecnológica y terceros

Rutas de riesgo

  • Proveedores críticos: lista de proveedores estratégicos, dependencia medida por porcentaje de servicios críticos provistos por un tercero.
  • Contratos y SLAs: cláusulas de seguridad, continuidad, subcontratación y derechos de auditoría.
  • Evaluación de riesgos del proveedor: puntuación de riesgo (ciber, financiero, operativo) y planes de contingencia si el proveedor falla.
  • Software supply chain security: existencia de SBOMs, firma de artefactos y políticas de actualización/patching. 

Valuación económica: coste total de propiedad (TCO) y estimaciones de remediación

Componentes a modelar

  • Costes directos: licencias, infra, hosting, coste de personal (FTEs) y proveedores gestionados.
  • Costes tangenciales: indemnizaciones por incidentes pasados, penalizaciones regulatorias previsibles, costes de migración y refactorización.
  • Escenarios de estrés: modelar impactos ante incidentes cibernéticos graves y fallos en modelos IA (pérdida de negocio, reputación y responsabilidad legal).
  • Horizonte de obsolescencia tecnológica: componentes con riesgo de EOL (end of life) en 12–36 meses y coste de reemplazo estimado.

Proponer un roadmap de mitigación con estimaciones de coste (CAPEX/OPEX), plazo y métricas que permitan anclar la negociación (p. ej. holdback, escrows, cláusulas de indemnidad).

Operaciones, talento y continuidad del negocio

  • Capacidad operativa interna: skills matrix del equipo TI, rotación, dependencia de perfiles clave.
  • SLA y Niveles de servicio operativo: cumplimiento histórico y mecanismos de escalado.
  • Transferencia de conocimiento: existencia de documentación técnica, runbooks y playbooks.
  • Plan de retención y transición post-adquisición: medidas para evitar fuga de talento crítico.

Instrumentos y artefactos de entrega en la Due Diligence

  • Informe ejecutivo y scorecard técnico: mapa de riesgos con scoring por dominio (seguridad, IA, datos, arquitectura, coste).
  • Matriz RACI de remediación: responsables, recursos y plazos.
  • SBOM consolidado e inventario de modelos IA.
  • Evidencias técnicas: logs, resultados de pentests, reportes SAST/SCA, pruebas de DR.
  • KPI y SLAs post-close recomendados: MTTD, MTTR, % de infra gestionada por IaC, cobertura de MFA, drift score máximo tolerable por modelo.

Recomendaciones estratégicas y checklist final (prioritaria)

  1. Obtener SBOMs y escaneo SCA completo antes de la firma. (SANGFOR)
  2. Verificar cumplimiento AI Act para modelos en producción y roadmap de adaptación legal. (Estrategia Digital Europea)
  3. Mapear dependencias de terceros críticas y negociar cláusulas de continuidad y derechos de auditoría. (vdr-web.info)
  4. Medir madurez según NIST CSF 2.0 y Zero Trust; requerir plan de mejora si la madurez es baja. (nvlpubs.nist.gov)
  5. Integrar pruebas de robustez para modelos IA (drift, adversarial, fairness).
  6. Evaluar deuda técnica con métricas concretas y estimación financiera de remediación.
  7. Auditar historiales de incidentes y ejercicios de DR con evidencia y lecciones aprendidas.

Conclusión

Una Due Diligence TI en 2026 debe trascender la mera lista de comprobación y convertirse en un proceso técnico-económico que combine evidencia técnica, métricas de madurez y proyecciones regulatorias. La presencia de modelos de IA, la complejidad de arquitecturas multicloud y la criticidad de la supply chain obligan a integrar prácticas de DevSecOps, SBOM, ModelOps y marcos de seguridad actualizados (NIST CSF, Zero Trust) dentro del proceso de auditoría. Un enfoque estructurado y medible no sólo reduce riesgo, sino que protege la valoración y facilita decisiones de inversión informadas.

Interoperabilidad en la nube: estándares y APIs que definirán 2026

febrero 4, 2026
Interoperabilidad en la nube: estándares y APIs que definirán 2026
Síguenos