Una publicación anónima de Substack publicada esta semana acusa a la startup de cumplimiento Delve de convencer «falsamente» a «cientos de clientes» de que cumple con las regulaciones de privacidad y seguridad, exponiendo potencialmente a esos clientes a «responsabilidad penal según HIPAA y multas significativas según GDPR».
Delve es una startup respaldada por Y Combinator que anunció el año pasado que recaudaría 32 millones de dólares en la Serie A con una valoración de 300 millones de dólares. (La ronda fue dirigida por Insight Partners). El viernes, la startup buscó refutar las acusaciones en su blog, diciendo que la publicación de Substack era «engañosa» y «contiene una serie de afirmaciones inexactas».
La publicación de Substack se atribuye a «DeepDelver», quien afirma trabajar para el (ahora ex) cliente de Delve.
DeepDelver recordó haber recibido un correo electrónico en diciembre afirmando que la empresa había «filtrado hojas de cálculo que contenían informes confidenciales de clientes». Aunque el director ejecutivo de Delve, Karun Kaushik, pareció aclarar en un correo electrónico posterior que los clientes cumplían y que terceros externos no accederían a datos confidenciales, DeepDelver dijo que ellos y otros clientes tenían dudas.
«Con una experiencia compartida de estar abrumados por la experiencia de Delve y una sensación general de que algo sospechoso estaba sucediendo, decidimos aunar nuestros recursos e investigar juntos», escribieron.
¿Su conclusión? Que Delve «logra su afirmación de ser la plataforma más rápida al crear evidencia falsa, derivar conclusiones de los auditores en nombre de fábricas certificadas informadas con un sello de goma y omitir requisitos marco clave mientras les dice a los clientes que cumple al 100%».
DeepDelver analizó estas afirmaciones con considerable detalle, acusando a la startup de proporcionar a los clientes «evidencia fabricada de reuniones de la junta, pruebas y procesos que nunca sucedieron» y obligando a esos clientes a «elegir entre adoptar evidencia falsa o hacer el trabajo principalmente de forma manual con poca automatización o IA real».
evento de crisis tecnológica
San Francisco, California
|
13-15 de octubre de 2026
DeepDelver también afirmó que prácticamente todos los clientes de Delve parecen pasar por dos firmas de auditoría, Accorp y Gradient, que según dijo son «parte de la misma práctica» y que operan principalmente en India y sólo tienen una presencia nominal en los Estados Unidos.
Dijeron que esas empresas eran sólo informes aprobados creados por Delve. Como resultado, dijo DeepDelver, la startup ha «invertido» la estructura de cumplimiento habitual: «Al producir conclusiones del auditor, procedimientos de prueba e informes finales antes de que se realicen revisiones independientes, Delve asume el papel tanto de implementador como de evaluador. Esto no es un tecnicismo. Es un fraude estructural que invalida toda la certificación».
Además de acusar a Delve de engañar a los clientes, DeepDelver dijo que la startup ayuda a los clientes a «engañar al público alojando páginas de confianza que contienen medidas de seguridad que nunca se implementan».
DeepDelver dijo que mientras su empresa discutía el tema con Delve, la startup «ya nos envió cajas de donas para mantenernos contentos». Sin embargo, es probable que los empleadores de DeepDelver hayan hecho que sus páginas de confianza sean privadas y ya no dependan del cumplimiento de la empresa.
Delve respondió a las acusaciones diciendo que no había emitido ningún informe de cumplimiento. Más bien, es una “plataforma de automatización” que captura información de cumplimiento y proporciona a los auditores acceso a esa información.
«Los informes y opiniones finales serán emitidos únicamente por auditores autorizados independientes y no por Delve», afirmó la compañía.
Delve también dijo que los clientes pueden «elegir trabajar con un auditor de su propia elección o con un auditor de la red de firmas de auditoría independientes y certificadas de Delve». La compañía dice que estos auditores son «empresas establecidas que se utilizan ampliamente en toda la industria, incluidas otras plataformas de cumplimiento».
En respuesta a las acusaciones de que proporciona «evidencia falsa» a los clientes, Delve respondió que sólo proporciona «plantillas para ayudar a los equipos a documentar los procesos de acuerdo con los requisitos de cumplimiento, como otras plataformas de cumplimiento».
«Los borradores de plantillas no son lo mismo que la ‘evidencia precargada'», dijo la compañía.
Delve agregó que está «investigando activamente cualquier infracción» y «todavía está considerando Substack».
Después de la publicación inicial de Substack, un usuario de X llamado James Zhou dijo que Delve tenía acceso a información confidencial, como verificaciones de antecedentes de los empleados y cronogramas de adquisición de acciones. El fundador de Dvuln, Jamison O’Reilly, compartió detalles de lo que dijo fue una conversación que O’Reilly tuvo con Chou sobre «algunos agujeros de seguridad importantes en la superficie de ataque externo de Delve».
TechCrunch envió un correo electrónico solicitando comentarios adicionales a la dirección de contacto con los medios que figura en el sitio web de Delve. El correo electrónico rebotó, pero luego recibí una invitación de calendario para una «Demostración de Delve» a finales de esta semana. TechCrunch también contactó a DeepDelver para obtener comentarios adicionales.
Esta publicación se actualizó con información adicional sobre la supuesta vulnerabilidad de seguridad proporcionada por Jamieson O’Reilly y detalles adicionales sobre la respuesta de Delve a TechCrunch.
Source link
