La startup de cumplimiento normativo Delve ha perdido su relación con la aceleradora Y Combinator en medio de una creciente controversia sobre sus prácticas empresariales. Según confirmó la directora de operaciones de la empresa, Selin Kocalar, en la plataforma X, “YC y Delve han tomado caminos separados”. La startup de cumplimiento normativo ya no aparece en el directorio de compañías del portafolio de Y Combinator, y su página dedicada parece haber sido eliminada del sitio web de la aceleradora.
El distanciamiento ocurre mientras Delve enfrenta acusaciones anónimas de haber engañado a clientes sobre su estado de cumplimiento con regulaciones de privacidad y seguridad. Las alegaciones fueron publicadas inicialmente en una cuenta de Substack atribuida a “DeepDelver”, quien se describe como un ex cliente de la empresa que comenzó a sospechar tras recibir datos filtrados sobre los clientes de la startup.
Inversores se distancian de la startup de cumplimiento normativo
Y Combinator no es el único inversor que ha decidido distanciarse de Delve. Insight Partners también eliminó publicaciones sobre su inversión en la compañía, aunque posteriormente restauró su entrada principal de blog. Kocalar expresó su gratitud hacia la comunidad de Y Combinator en su publicación, recordando el día de su entrevista en el MIT.
La separación marca un punto crítico para una empresa que anteriormente había sido respaldada por una de las aceleradoras tecnológicas más prestigiosas del mundo. Sin embargo, las circunstancias que rodean el distanciamiento están directamente vinculadas a las acusaciones que han surgido en semanas recientes.
Acusaciones y respuesta de la empresa
Las alegaciones contra Delve incluyen afirmaciones de que la empresa omitió requisitos importantes y generó automáticamente informes para “certificadoras que aprueban documentos sin análisis riguroso”, según DeepDelver. Publicaciones posteriores compartieron lo que el denunciante anónimo afirmó eran mensajes de Slack y videos de la compañía.
Adicionalmente, DeepDelver acusó a Delve de presentar una herramienta de código abierto como propia sin otorgar crédito ni alcanzar un acuerdo con el desarrollador original. Un investigador de seguridad también reportó haber accedido a datos sensibles de Delve, según las publicaciones.
La controversia se expandió cuando se descubrió malware en un proyecto de código abierto desarrollado por LiteLLM, un cliente de Delve. Este incidente añadió otra capa de complejidad a la situación que enfrenta la startup.
La respuesta oficial de los ejecutivos
En una publicación reciente en el blog corporativo, Kocalar y el director ejecutivo Karun Kaushik declararon su intención de “establecer la verdad sobre los ataques anónimos”. Los ejecutivos afirmaron que la empresa contrató una firma de ciberseguridad para investigar los eventos, y sostienen que “la evidencia apunta a un ataque malicioso en lugar de un denunciante genuino”.
Según los ejecutivos, un atacante compró servicios de Delve bajo falsos pretextos, extrajo datos maliciosamente, incluyendo información interna de la compañía, y los utilizó para lanzar una campaña coordinada de desprestigio. La publicación incluye una captura de pantalla que supuestamente muestra al atacante extrayendo una hoja de cálculo de auditoría a través de file.io.
Medidas correctivas implementadas
A pesar de rechazar las acusaciones como “una mezcla de afirmaciones fabricadas, capturas de pantalla seleccionadas selectivamente y datos sacados de contexto”, los ejecutivos de Delve reconocieron la necesidad de implementar mejoras. En cuanto al uso de herramientas de código abierto, la empresa afirmó que construyó sobre un repositorio con licencia Apache 2.0, que permite explícitamente el uso comercial.
Las medidas correctivas incluyen la eliminación de firmas auditoras “que no cumplen con nuestros estándares”, ofrecer reauditorías y pruebas de penetración gratuitas a todos los clientes activos, y aclarar que las plantillas de Delve están diseñadas únicamente como puntos de partida. Kaushik admitió en X que “crecimos demasiado rápido y no cumplimos con nuestro propio estándar”, disculpándose con los clientes por las inconveniencias causadas.
La situación permanece en desarrollo mientras TechCrunch ha contactado a Y Combinator y DeepDelver para obtener respuestas a los comentarios de Delve. La resolución de esta controversia dependerá en gran medida de los resultados de la investigación de ciberseguridad contratada por la empresa y de cómo respondan los reguladores y clientes a las medidas correctivas implementadas.