Cada sistema operativo principal tiene vulnerabilidades críticas no descubiertas
No es una hipótesis teórica. Es el resultado de un proyecto de investigación realizado por Anthropic en las últimas semanas.
Claude Mythos — el modelo de frontera de Anthropic — ha encontrado una vulnerabilidad en el kernel de Linux que permite a un usuario normal tomar el control completo del sistema. Un fallo en FreeBSD clasificado como Remote Code Execution. Un bug en OpenBSD presente desde hace 27 años. Un bug en FFmpeg que ha sobrevivido a cinco millones de pruebas automatizadas durante 16 años.
En el momento de la publicación del informe, más del 99 % de las vulnerabilidades encontradas seguían abiertas.
El punto no es la tecnología. El punto es la premisa en la que se basa casi toda la tech due diligence en Private Equity: que el software utilizado por las portfolio companies es razonablemente seguro si está ampliamente extendido, actualizado y libre de CVE conocidas. Esta premisa es frágil.
Qué significa para quienes invierten en empresas technology-dependent
Casi todas las empresas en 2026 son technology-dependent, aunque no sean empresas tech. ERP, CRM, sistema de producción, infraestructura cloud, sitio de e-commerce — si uno de estos se detiene o se ve comprometido, el EBITDA sufre las consecuencias.
La tech due diligence tradicional busca tres cosas: que los sistemas funcionen, que sean escalables y que no tengan deuda técnica evidente. Es una evaluación correcta pero incompleta. No mide la exposición a riesgos desconocidos — exactamente la categoría que Project Glasswing ha demostrado ser significativa incluso en el software más maduro y revisado del mundo.
Para un fondo PE, esto se traduce en una pregunta concreta: si invertimos en una empresa con una codebase propietaria desarrollada internamente durante los últimos diez años, ¿cuál es la probabilidad de que contenga vulnerabilidades críticas no descubiertas? La respuesta honesta, a la luz de los datos de Anthropic, es: muy alta.
Cómo cambia la tech due diligence
El problema con la tech due diligence actual no es la competencia de quienes la realizan — es la escala. Un equipo de 3 a 4 personas en 4 semanas puede analizar arquitectura, calidad del código y documentación. No puede hacer vulnerability research sistemática sobre 500.000 líneas de código propietario.
La IA cambia esta ecuación.
Claude puede analizar codebases enteras en busca de categorías de vulnerabilidades conocidas: gestión de entradas no saneada, uso de bibliotecas con CVE abiertas, configuraciones de autenticación arriesgadas. No equivale a un penetration test completo, pero es un orden de magnitud más escalable.
El resultado práctico es que durante una due diligence es hoy posible obtener un mapa del riesgo tecnológico que incluye no solo la deuda técnica visible, sino también categorías de riesgo de seguridad que tradicionalmente se ignoraban por falta de tiempo.
Para los equipos que ya utilizan Claude para la due diligence documental, añadir una dimensión de análisis de seguridad es una extensión natural del workflow existente.
¿Está reevaluando el riesgo tecnológico en sus portfolio companies?
30 minutos para discutir tu caso específico.
IA para acelerar la DD y el portfolio monitoring
La tech due diligence potenciada por IA no se agota en la fase pre-closing. El valor se extiende a lo largo de todo el ciclo de vida de la inversión.
Durante la due diligence, Claude puede analizar la codebase propietaria del objetivo, mapear las dependencias de bibliotecas de terceros y evaluar la madurez de las prácticas de seguridad del equipo de desarrollo.
Post-closing, el monitoring del riesgo tecnológico puede ser parcialmente automatizado. Claude puede analizar periódicamente los logs de seguridad, monitorear la aparición de nuevas CVE que impacten las bibliotecas utilizadas y producir informes de estado para el equipo de gestión.
La integración con los sistemas existentes — a través de MCP — permite a Claude acceder de forma estructurada a los datos de las portfolio companies sin requerir transferencias manuales de información.
El riesgo reputacional y operativo que a menudo se subestima
Un incidente de seguridad en una portfolio company no es solo un problema operativo. Tiene implicaciones más amplias.
En el frente regulatorio, NIS2 — entrada en vigor en Europa — impone obligaciones significativas a las empresas en sectores críticos. Una portfolio company no conforme expone al fondo a riesgos que no siempre emergen en la due diligence estándar.
En el frente de las exits, un comprador que realice una due diligence post-incidente encontrará el problema y lo utilizará como palanca negociadora sobre el precio. Resolver el problema antes de la exit — aunque sea parcialmente — mejora la calidad del proceso.
Las consideraciones sobre la due diligence de IA en el PE se aplican también aquí: la IA no elimina el riesgo, pero reduce el coste de identificarlo antes de que se convierta en un problema.
Cómo trabaja Maverick AI con los fondos Private Equity
Maverick AI es el implementation partner de referencia en Italia para el ecosistema Anthropic. Trabajamos con fondos PE en dos frentes principales.
En la tech due diligence, acompañamos a los deal teams en la construcción de workflows Claude para el análisis de las codebases objetivo, la identificación de dependencias arriesgadas y la producción de informes de security risk integrables en los memos de inversión estándar.
En el portfolio monitoring, ayudamos a construir sistemas de supervisión del riesgo tecnológico en las portfolio companies que se integren con los procesos de reporting existentes.
Tenemos clientes activos en M&A advisory y pipeline en el PE. Si está reevaluando el riesgo tecnológico en sus portfolio companies o quiere entender cómo integrar Claude en la due diligence, contáctenos.