· nervico-team · liderazgo-tecnico  · 12 min read

Due diligence técnica para inversores: qué evaluar y cómo

Guía completa de due diligence técnica para inversores y fundadores. Cómo evaluar calidad de código, arquitectura, equipo, seguridad, deuda técnica y las red flags que indican problemas graves.

Guía completa de due diligence técnica para inversores y fundadores. Cómo evaluar calidad de código, arquitectura, equipo, seguridad, deuda técnica y las red flags que indican problemas graves.

Has encontrado una startup con buenas métricas de negocio, un mercado atractivo y un equipo fundador convincente. Pero antes de firmar el cheque, necesitas responder una pregunta fundamental: ¿la tecnología que sostiene todo esto es sólida, o estás invirtiendo en un castillo de naipes?

La due diligence técnica es el proceso de evaluar la salud tecnológica de una empresa antes de una inversión, adquisición o partnership estratégico. Y a diferencia de la due diligence financiera o legal, es la que más frecuentemente se hace mal o directamente se omite.

Las consecuencias de saltarse este paso son brutales. Hemos visto inversiones donde la startup necesitó reescribir el 70% de su código 6 meses después de cerrar la ronda, eliminando meses de runway. Y hemos visto adquisiciones donde la tecnología adquirida resultó ser tan frágil que el coste de integración superó el precio de compra.

Esta guía te da un framework práctico para evaluar la tecnología de una startup, seas inversor evaluando una oportunidad o fundador preparándose para una ronda.

Las seis áreas de evaluación

Una due diligence técnica rigurosa cubre seis áreas fundamentales. Cada una revela información diferente sobre la salud y el potencial técnico de la empresa.

1. Calidad del código

La calidad del código es el indicador más directo de la disciplina técnica de un equipo. No se trata de perfección estética: se trata de sostenibilidad.

Qué evaluar:

  • Estructura y organización: El código sigue patrones consistentes. Los módulos tienen responsabilidades claras. No hay archivos de 5.000 líneas que hacen de todo.
  • Cobertura de tests: No buscamos 100% de cobertura (es contraproducente). Buscamos tests donde importa: lógica de negocio, integración con servicios externos, flujos críticos.
  • Consistencia de estilo: Linters configurados, formatting automatizado, convenciones documentadas. Indica madurez de proceso.
  • Gestión de dependencias: Dependencias actualizadas, sin vulnerabilidades conocidas, sin libraries abandonadas.
  • Documentación del código: No comentarios obvios, sino documentación de decisiones no evidentes y APIs públicas.

Métricas objetivas:

  • Complejidad ciclomática por módulo (herramientas como SonarQube la calculan automáticamente)
  • Ratio de código duplicado (idealmente por debajo del 5%)
  • Número de vulnerabilidades conocidas en dependencias
  • Cobertura de tests de lógica de negocio (idealmente por encima del 60-70%)

Red flags:

  • Sin tests automatizados o con tests que no se ejecutan en CI
  • Dependencias con vulnerabilidades críticas conocidas y sin plan de actualización
  • Sin linter ni formatting automatizado (indica proceso inmaduro)
  • Secretos (API keys, passwords) hardcodeados en el código fuente

2. Arquitectura del sistema

La arquitectura determina la capacidad del sistema para escalar, evolucionar y resistir fallos. Es la decisión técnica más difícil de cambiar una vez tomada.

Qué evaluar:

  • Diagrama de arquitectura actualizado: Si el equipo no puede producir un diagrama de arquitectura en 24 horas, nadie tiene una visión completa del sistema.
  • Separación de responsabilidades: El frontend, backend, base de datos y servicios externos tienen límites claros.
  • Estrategia de escalabilidad: El sistema puede manejar 10x el tráfico actual con cambios razonables (no reescritura completa).
  • Resiliencia: Qué pasa cuando un componente falla. Hay circuit breakers, reintentos, fallbacks.
  • Acoplamiento: Los componentes del sistema pueden cambiarse independientemente, o está todo tan conectado que mover una pieza rompe tres.

Preguntas clave para el equipo:

  • ¿Cuál es el cuello de botella actual del sistema?
  • ¿Qué pasaría si el tráfico se multiplicara por 10 mañana?
  • ¿Cuál fue la última decisión arquitectural importante y por qué se tomó?
  • ¿Qué cambiarían de la arquitectura si pudieran empezar de cero?

Red flags:

  • Sin diagrama de arquitectura o con diagrama desactualizado
  • Base de datos monolítica sin estrategia de partición
  • Single point of failure sin redundancia
  • Ausencia de monitorización y alertas

3. Evaluación del equipo técnico

La tecnología la construyen personas. Un equipo técnico débil no puede mantener una buena arquitectura, y un equipo fuerte puede mejorar una arquitectura mediocre.

Qué evaluar:

  • Composición del equipo: Ratio de seniors vs juniors, especialistas vs generalistas, diversidad de experiencia.
  • Retención: Rotación en los últimos 12-24 meses. Alta rotación en el equipo técnico es una señal de alarma.
  • Dependencia de personas clave: ¿Hay un “bus factor” de 1 en algún componente crítico? Si una persona se va, ¿se pierde conocimiento irrecuperable?
  • Capacidad de contratación: ¿El stack tecnológico permite contratar fácilmente? Stacks exóticos dificultan el hiring.
  • Liderazgo técnico: ¿Hay un CTO o lead técnico que tome decisiones arquitecturales con criterio? ¿O el equipo navega sin dirección?

Entrevistas individuales (confidenciales):

Habla con 2-3 miembros del equipo técnico sin el CTO presente. Preguntas:

  • ¿Cuál es el mayor reto técnico que enfrentáis?
  • ¿Qué mejorarías del proceso de desarrollo?
  • ¿Te sientes apoyado/mentorizado en tu crecimiento profesional?
  • ¿Hay algo del código o la arquitectura que te preocupe?

Las respuestas consistentes entre múltiples personas son fiables. Las inconsistencias con lo que dice la dirección son una señal de alarma.

Red flags:

  • Rotación superior al 25% anual en el equipo técnico
  • Dependencia crítica de 1-2 personas para componentes clave
  • Equipo compuesto exclusivamente por juniors sin supervisión senior
  • El CTO/lead técnico no puede explicar decisiones arquitecturales pasadas

4. Seguridad

Una brecha de seguridad puede destruir la reputación de una empresa y generar costes legales que eliminen el valor de la inversión.

Qué evaluar:

  • Autenticación y autorización: Cómo se gestionan las identidades de usuario, qué framework se usa, si hay MFA disponible.
  • Cifrado: Datos en reposo y en tránsito cifrados. No solo HTTPS, sino cifrado a nivel de base de datos para datos sensibles.
  • Gestión de secretos: API keys, tokens y passwords gestionados con herramientas dedicadas (Vault, AWS Secrets Manager), no hardcodeados.
  • Auditoría de accesos: Log de quién accede a qué datos y cuándo.
  • Compliance: GDPR si opera en Europa, SOC 2 si trabaja con empresas grandes, certificaciones sectoriales si aplican.

Test práctico:

Solicita un pentest reciente o los resultados de un escáner de vulnerabilidades. Si no tienen ninguno, es una señal de que la seguridad no es una prioridad.

Red flags:

  • Sin HTTPS en todos los endpoints
  • Credenciales en repositorios de código (revisa el historial de Git)
  • Sin política de rotación de secretos
  • Sin logs de auditoría
  • Sin plan de respuesta ante incidentes

5. Cuantificación de deuda técnica

Toda empresa tiene deuda técnica. La pregunta no es si existe, sino si está gestionada o fuera de control.

Qué evaluar:

  • Inventario de deuda: ¿El equipo tiene un registro de la deuda técnica conocida? Si la respuesta es “no tenemos deuda técnica”, es una respuesta incorrecta.
  • Impacto cuantificado: ¿Pueden estimar cuánto les ralentiza la deuda actual? Por ejemplo: “el sistema de pagos tiene deuda técnica que nos hace invertir 2 días extra en cada cambio relacionado”.
  • Plan de reducción: ¿Hay un porcentaje del sprint dedicado a reducir deuda? Idealmente, entre el 15-25% del tiempo.
  • Deuda intencional vs accidental: La deuda intencional (tomada conscientemente por velocidad) es gestionable. La accidental (por falta de conocimiento o descuido) es peligrosa.

Framework de evaluación:

Clasifica la deuda técnica encontrada en tres categorías:

  • Bajo riesgo: Molesta pero no bloquea. Se puede pagar gradualmente.
  • Medio riesgo: Ralentiza significativamente al equipo o limita funcionalidades.
  • Alto riesgo: Puede causar fallos catastróficos, brechas de seguridad o impedir el escalado.

Red flags:

  • Deuda técnica en componentes críticos (pagos, autenticación, datos)
  • Sin plan de reducción o sin tiempo asignado para ello
  • El equipo no puede estimar el impacto de la deuda existente
  • Deuda acumulada que requeriría reescritura completa de un componente

6. Infraestructura y operaciones (DevOps)

La infraestructura y los procesos operativos determinan la capacidad de entregar software de forma fiable y frecuente.

Qué evaluar:

  • Pipeline de CI/CD: Integración continua con tests automatizados y despliegue automatizado o semi-automatizado.
  • Infrastructure as Code: La infraestructura se define en código (Terraform, CloudFormation, Pulumi), no se configura manualmente.
  • Monitorización y observabilidad: Métricas de sistema, logs centralizados, tracing distribuido, alertas configuradas.
  • Estrategia de backups: Backups automatizados, probados regularmente, con procedimiento de restauración documentado.
  • Disaster recovery: Plan documentado y probado para recuperar el sistema ante un fallo catastrófico. Incluye RTO (Recovery Time Objective) y RPO (Recovery Point Objective) definidos.

Métricas DORA como referencia:

Las métricas DORA (Deployment Frequency, Lead Time for Changes, Change Failure Rate, Failed Deployment Recovery Time) son un buen benchmark. Para una startup saludable, buscamos:

  • Deployment frequency: al menos semanal
  • Lead time for changes: menos de 1 semana
  • Change failure rate: menos del 15%
  • Recovery time: menos de 1 día

Red flags:

  • Despliegues manuales sin automatización
  • Sin monitorización o con alertas que nadie revisa
  • Backups no probados (un backup que no se ha restaurado no es un backup)
  • Sin IaC (infraestructura configurada manualmente)

El proceso de due diligence técnica

Fase 1: Revisión documental (1-2 días)

Solicita documentación técnica antes de la visita:

  • Diagrama de arquitectura actual
  • Lista de tecnologías y servicios utilizados
  • Métricas de rendimiento y disponibilidad
  • Informe de seguridad o pentest más reciente
  • Roadmap técnico
  • Estructura del equipo técnico

La calidad y disponibilidad de esta documentación ya dice mucho.

Fase 2: Revisión de código (2-3 días)

Acceso al repositorio de código (con NDA firmado). Análisis automatizado con herramientas (SonarQube, Snyk, etc.) y revisión manual de componentes críticos.

Fase 3: Entrevistas técnicas (1-2 días)

Entrevistas con el CTO, lead developers, y miembros del equipo. Preguntas abiertas sobre decisiones, retos y cultura técnica.

Fase 4: Informe y recomendaciones (2-3 días)

Documento con hallazgos, clasificación por riesgo, estimación de costes de remediación, y recomendaciones.

Timeline total: 1-2 semanas para una due diligence estándar. 3-4 semanas para evaluaciones profundas de empresas complejas.

Cómo prepararte si eres el fundador

Si sabes que vas a pasar por una due diligence técnica, estos son los pasos para prepararte:

3-6 meses antes:

  • Documenta la arquitectura actual
  • Haz un inventario de deuda técnica con plan de reducción
  • Ejecuta un escáner de vulnerabilidades y resuelve las críticas
  • Asegura que tu CI/CD está automatizado y funcional

1 mes antes:

  • Prepara un paquete de documentación técnica organizada
  • Ensaya las respuestas a preguntas comunes con tu CTO
  • Revisa que no hay secretos en el repositorio de código
  • Verifica que los backups funcionan (restaura uno como prueba)

Durante la due diligence:

  • Sé transparente. Los evaluadores experimentados detectan los intentos de ocultar problemas, y eso genera más desconfianza que los problemas en sí.
  • Presenta la deuda técnica proactivamente, junto con tu plan para gestionarla.
  • Demuestra que entiendes las limitaciones de tu tecnología actual.

Errores comunes en la due diligence técnica

Evaluar solo lo que se ve, no lo que falta

Es fácil evaluar la calidad del código que existe. Es más difícil pero igual de importante evaluar lo que no existe: tests que no se escribieron, documentación que no se creó, monitorización que no se configuró, procesos de seguridad que no se implementaron.

Un equipo puede tener código limpio y bien estructurado pero carecer de backups probados, plan de disaster recovery, o gestión de secretos. Las ausencias son tan informativas como las presencias.

Confundir tecnología moderna con buena tecnología

Usar Kubernetes, microservicios y serverless no indica madurez técnica. A menudo indica lo contrario: complejidad innecesaria para la fase de la empresa. Un monolito bien diseñado con tests sólidos y despliegues automatizados es técnicamente más maduro que una arquitectura de microservicios que nadie puede depurar.

Evalúa si las decisiones tecnológicas están justificadas por las necesidades reales del producto, no por la moda del momento.

No hablar con el equipo técnico directamente

Si toda la información viene filtrada por el CTO o los fundadores, te falta la perspectiva más importante. Los desarrolladores que trabajan en el código diariamente conocen los problemas reales que los líderes pueden minimizar.

Las entrevistas confidenciales con miembros del equipo técnico son la fuente de información más valiosa de toda la due diligence.

Subestimar la deuda técnica porque “todas las startups la tienen”

Sí, todas las startups tienen deuda técnica. Pero hay una diferencia enorme entre deuda técnica gestionada (registrada, cuantificada, con plan de reducción) y deuda técnica ignorada (nadie sabe cuánta hay ni qué impacto tiene). La primera es normal y manejable. La segunda es una bomba de relojería.

Qué hacer con los resultados

Para inversores

Los hallazgos de una due diligence técnica no son binarios (invertir/no invertir). Son factores que deberían influir en:

  • Valoración: La deuda técnica significativa debería reducir la valoración. No es diferente de descubrir deuda financiera no declarada.
  • Términos de inversión: Milestones técnicos como condición para desembolsos adicionales.
  • Plan post-inversión: Presupuesto y timeline para resolver los problemas encontrados.
  • Governance: Requisitos de reporting técnico periódico.

Para fundadores

Los hallazgos son una oportunidad de mejora, no un veredicto. Usa el informe para:

  • Priorizar la reducción de deuda técnica
  • Justificar inversiones en infraestructura y seguridad
  • Identificar gaps en el equipo técnico
  • Establecer métricas de mejora continua

Toolkit del inversor para la due diligence técnica

Preguntas esenciales

Más allá de las áreas de evaluación estructuradas, estas preguntas revelan consistentemente la información más valiosa:

Para el CTO:

  • “Explícame la última caída importante del sistema y cómo la gestionasteis.” Esto revela la madurez en respuesta a incidentes, la transparencia y la cultura de aprendizaje. Si no ha habido caídas, revela o ingeniería excepcional o monitorización insuficiente.
  • “Cuál es el mayor riesgo técnico para el negocio ahora mismo?” Un CTO que responde honestamente muestra autoconciencia y madurez. Uno que dice “ninguno” o no está prestando atención o no está siendo sincero.
  • “Enséñame vuestros Architecture Decision Records.” Si existen y están actualizados, indica gobernanza técnica madura. Si no existen, indica toma de decisiones ad-hoc.

Para los developers:

  • “Qué mejorarías del proceso de desarrollo si tuvieras tiempo ilimitado?” Esta pregunta aflora los puntos de dolor que la dirección puede no ver o no admitir.
  • “Cuánto tarda un developer nuevo en hacer su primer despliegue a producción?” La respuesta revela la calidad del onboarding y la comprensibilidad del código.

Qué es aceptable según la fase de la empresa

Calibra tus expectativas según la fase de la empresa. Una startup en seed no debería tener la misma sofisticación técnica que una en Series B.

Fase seed (aceptable): Producto funcional con algunos tests. Base de datos única. Despliegues manuales o semi-automatizados. Documentación escasa pero decisiones clave registradas. 1-2 developers.

Series A (esperado): CI/CD automatizado. Cobertura de tests en los caminos críticos. Monitorización y alertas. Documentación de arquitectura. Seguridad básica cubierta. 5-10 developers con liderazgo técnico claro.

Series B+ (requerido): CI/CD completo con testing automatizado. Infrastructure as Code. Monitorización y observabilidad completas. Procedimientos de respuesta ante incidentes. Auditorías de seguridad. Escalabilidad probada. Deuda técnica gestionada con presupuesto dedicado.

Conclusión

La due diligence técnica no es un examen que se aprueba o se suspende. Es un ejercicio de transparencia que beneficia a ambas partes: el inversor entiende el riesgo real, y el fundador obtiene una evaluación objetiva de su tecnología.

Las mejores startups no temen la due diligence técnica. La anticipan, se preparan, y la usan como catalizador para mejorar. Las que la temen suelen ser las que más la necesitan.

No inviertas en tecnología que no entiendes. Y si no tienes la capacidad técnica para evaluarla, contrata a alguien que sí la tenga.

¿Necesitas realizar o preparar una due diligence técnica?

En una auditoría gratuita de 45 minutos podemos ayudarte a:

  • Evaluar la preparación técnica de tu empresa para una due diligence
  • Identificar las áreas de mayor riesgo que necesitas resolver
  • Definir un plan de preparación con prioridades claras
  • Estimar el coste y timeline de remediación de hallazgos

Solicitar auditoría gratuita

Share:
Back to Blog

Related Posts

View All Posts »