Una publicación anónima de Substack publicada esta semana acusa a la startup de cumplimiento Delve de convencer «falsamente» a «cientos de clientes» de que cumple con las regulaciones de privacidad y seguridad, exponiendo potencialmente a esos clientes a «responsabilidad penal según HIPAA y multas significativas según GDPR».
Delve es una startup respaldada por Y Combinator que anunció el año pasado que recaudaría 32 millones de dólares en la Serie A con una valoración de 300 millones de dólares. (La ronda fue dirigida por Insight Partners). El viernes, la startup buscó refutar las acusaciones en su blog, diciendo que la publicación de Substack era «engañosa» y «contiene una serie de afirmaciones inexactas».
La publicación de Substack se atribuye a «DeepDelver», quien afirma trabajar para el (ahora ex) cliente de Delve. En respuesta a preguntas por correo electrónico de TechCrunch, DeepDelver dijo que ellos y sus colaboradores «eligieron permanecer en el anonimato por temor a represalias por parte de Delve».
DeepDelver detalló en su publicación que recibió un correo electrónico en diciembre afirmando que la compañía había «filtrado una hoja de cálculo que contenía informes confidenciales de los clientes». Aunque el director ejecutivo de Delve, Karun Kaushik, pareció aclarar en un correo electrónico posterior que los clientes cumplían y que terceros externos no accederían a datos confidenciales, DeepDelver dijo que ellos y otros clientes tenían dudas.
«Con una experiencia compartida de estar abrumados por la experiencia de Delve y una sensación general de que algo sospechoso estaba sucediendo, decidimos aunar nuestros recursos e investigar juntos», escribieron.
¿Su conclusión? Que Delve «logra su afirmación de ser la plataforma más rápida al crear evidencia falsa, derivar conclusiones de los auditores en nombre de fábricas certificadas informadas con un sello de goma y omitir requisitos marco clave mientras les dice a los clientes que cumple al 100%».
DeepDelver analizó estas afirmaciones con considerable detalle, acusando a la startup de proporcionar a los clientes «evidencia fabricada de reuniones de la junta, pruebas y procesos que nunca sucedieron» y obligando a esos clientes a «elegir entre adoptar evidencia falsa o hacer el trabajo principalmente de forma manual con poca automatización o IA real».
evento de crisis tecnológica
San Francisco, California
|
13-15 de octubre de 2026
DeepDelver también afirmó que prácticamente todos los clientes de Delve parecen pasar por dos firmas de auditoría, Accorp y Gradient, que según dijo son «parte de la misma práctica» y que operan principalmente en India y sólo tienen una presencia nominal en los Estados Unidos.
Dijeron que esas empresas eran sólo informes aprobados creados por Delve. Como resultado, dijo DeepDelver, la startup ha «invertido» la estructura de cumplimiento habitual: «Al producir conclusiones del auditor, procedimientos de prueba e informes finales antes de que se realicen revisiones independientes, Delve asume el papel tanto de implementador como de evaluador. Esto no es un tecnicismo. Es un fraude estructural que invalida toda la certificación».
Además de acusar a Delve de engañar a los clientes, DeepDelver dijo que la startup ayuda a los clientes a «engañar al público alojando páginas de confianza que contienen medidas de seguridad que nunca se implementan».
DeepDelver dijo que mientras su empresa discutía el tema con Delve, la startup «nos envió varias cajas de donas para satisfacernos». Sin embargo, es probable que los empleadores de DeepDelver hayan hecho que sus páginas de confianza sean privadas y ya no dependan del cumplimiento de la empresa.
Delve respondió a las acusaciones diciendo que no había emitido ningún informe de cumplimiento. Más bien, es una “plataforma de automatización” que captura información de cumplimiento y proporciona a los auditores acceso a esa información.
«Los informes y opiniones finales serán emitidos únicamente por auditores autorizados independientes y no por Delve», afirmó la compañía.
Delve también dijo que los clientes pueden «elegir trabajar con un auditor de su propia elección o con un auditor de la red de firmas de auditoría independientes y certificadas de Delve». La compañía dice que estos auditores son «empresas establecidas que se utilizan ampliamente en toda la industria, incluidas otras plataformas de cumplimiento».
En respuesta a las acusaciones de que proporciona «evidencia falsa» a los clientes, Delve respondió que sólo proporciona «plantillas para ayudar a los equipos a documentar los procesos de acuerdo con los requisitos de cumplimiento, como otras plataformas de cumplimiento».
«Los borradores de plantillas no son lo mismo que las ‘evidencias precargadas'», dijo la compañía.
Delve agregó que está «investigando activamente cualquier infracción» y «todavía está considerando Substack».
Cuando se le preguntó sobre la respuesta de Delve, DeepDelver dijo a TechCrunch que estaba «avergonzado por su pereza, torpeza y descaro».
«Buscan evadir la responsabilidad al negar la existencia de ‘evidencia precargada’, pero en lugar de eso la llaman ‘modelo’, echando efectivamente la culpa a los clientes que han adoptado la ‘modelo’ palabra por palabra», dijo Deepdelver. “Afirman que no son ellos quienes ‘emiten’ el informe, pero es fácil hacer esa afirmación si se define emitir un informe como dar el veredicto final”.
Agregaron que había «una serie de acusaciones muy serias» que Delve nunca planteó. «Confíe (risas) en la página con acusaciones de India, falta de IA (solo hablan de ‘automatización’) y controles que nunca se implementaron».
DeepDelver aparentemente no ha terminado con las críticas, como prometió: «La Parte II llegará pronto».
Además, después de la publicación inicial de Substack, un usuario de X llamado James Zhou dijo que pudo acceder a información confidencial de Delve, incluidas verificaciones de antecedentes de los empleados y cronogramas de adquisición de acciones. El fundador de Dvuln, Jamison O’Reilly, compartió detalles de lo que dijo fue una conversación que O’Reilly tuvo con Chou sobre «algunos agujeros de seguridad importantes en la superficie de ataque externo de Delve».
TechCrunch envió un correo electrónico solicitando comentarios adicionales a la dirección de contacto con los medios que figura en el sitio web de Delve. Mi correo electrónico rebotó, pero después de que se publicó este artículo, recibí una invitación de Calendar para una «Demostración de Delve» a finales de esta semana.
Esta publicación se publicó por primera vez el 21 de marzo de 2026. Se actualizó con una respuesta por correo electrónico de DeepDelver, información adicional sobre la supuesta vulnerabilidad de seguridad proporcionada por Jamieson O’Reilly y detalles adicionales sobre la respuesta de Delve a TechCrunch.
Source link
