Un castillo de naipes valorado en 300 millones de dólares

En el vertiginoso mundo de las startups tecnológicas, la confianza es el activo más valioso. Ahora, esa confianza se ha hecho añicos para Delve, una prometedora empresa de cumplimiento normativo respaldada por gigantes como Y Combinator e Insight Partners. Una publicación anónima en Substack, firmada por alguien que se hace llamar “DeepDelver”, ha lanzado acusaciones explosivas: Delve habría estado vendiendo “cumplimiento falso” a cientos de clientes, fabricando evidencia y exponiéndolos a multas millonarias y responsabilidades penales bajo normativas como GDPR e HIPAA.

El origen de la sospecha: una filtración y un denunciante anónimo

La historia comienza, según el post, con un correo electrónico en diciembre que alertaba sobre una hoja de cálculo filtrada con informes confidenciales de clientes. Aunque el CEO de Delve, Karun Kaushik, intentó calmar las aguas asegurando que no había brechas de seguridad, la semilla de la duda ya estaba sembrada. “DeepDelver”, quien se identifica como un exempleado de un cliente de Delve, decidió investigar junto a otros afectados. Su conclusión fue devastadora.

Las acusaciones detallan un modus operandi sistemático para engañar a los clientes:

• Evidencia Fabricada: La startup supuestamente proporcionaba a los clientes pruebas pre-fabricadas de reuniones de junta directiva, tests de seguridad y procesos que nunca ocurrieron. Los clientes se veían forzados a adoptar esta evidencia falsa o a realizar el trabajo manualmente, sin la automatización prometida.
• Auditores Cómplices: Se afirma que casi todos los clientes de Delve eran auditados por dos firmas, Accorp y Gradient, descritas como parte de la misma operación con base en India. Estas empresas, según el denunciante, simplemente “sellaban” los informes generados por Delve sin una revisión independiente real.
• Inversión del Proceso: Al generar las conclusiones del auditor y los informes finales antes de cualquier revisión externa, Delve se posicionaba como implementador y examinador a la vez, un conflicto de interés estructural que, según la acusación, invalida toda la certificación.
• Páginas de Confianza Falsas: Delve alojaba páginas de “confianza” para sus clientes que listaban medidas de seguridad que, en realidad, nunca se habían implementado.

La defensa de Delve: “Somos una plataforma, no auditores”

Ante la tormenta mediática, Delve publicó una entrada en su blog intentando refutar las acusaciones. La compañía se defendió argumentando que es una “plataforma de automatización” que ayuda a los clientes a recopilar información para el cumplimiento, pero no emite los informes finales. Según ellos, son los auditores independientes quienes tienen la última palabra.

Plantillas vs. Evidencia Falsa

Delve contraatacó la acusación de “evidencia falsa” afirmando que simplemente ofrecen “plantillas” para ayudar a los equipos a documentar sus procesos, una práctica común en la industria. “Los borradores de plantillas no son lo mismo que 'evidencia pre-rellenada'”, sentenciaron. Además, aseguraron que los clientes son libres de elegir a su propio auditor o seleccionar uno de la red de socios de Delve, calificándolos como “firmas establecidas”.

La controversia se intensifica: nuevas vulnerabilidades y una respuesta insuficiente

La respuesta de Delve no convenció a “DeepDelver”, quien la calificó de “torpe y descarada”. “Intentan eludir la responsabilidad llamándolo 'plantillas' en lugar de 'evidencia pre-rellenada', culpando efectivamente a los clientes por adoptarlas”, replicó el denunciante a TechCrunch. Señaló además que Delve no abordó acusaciones graves como la operación en India o la falta de una IA real en su plataforma.

Para empeorar las cosas, tras la publicación del post, otro usuario en X (antes Twitter), James Zhou, afirmó haber encontrado “varios agujeros de seguridad flagrantes” en Delve. Según informes, pudo acceder a información interna sensible como verificaciones de antecedentes de empleados y cronogramas de adjudicación de acciones, lo que añade una capa de incompetencia en seguridad a las acusaciones de fraude. El denunciante anónimo ha prometido una “Parte II”, sugiriendo que el escándalo está lejos de terminar y podría sacudir los cimientos de la confianza en la industria del cumplimiento automatizado.