Una publicación anónima en Substack ha desatado una controversia significativa alrededor de la startup de cumplimiento normativo Delve, acusándola de proporcionar evidencia falsa de cumplimiento normativo a cientos de clientes. Las acusaciones, publicadas esta semana por un usuario identificado como “DeepDelver”, sugieren que la empresa respaldada por Y Combinator habría expuesto a sus clientes a responsabilidad criminal bajo HIPAA y multas considerables bajo GDPR. Delve recaudó 32 millones de dólares en una ronda Serie A el año pasado con una valoración de 300 millones de dólares.
DeepDelver, quien se describe como empleado de un antiguo cliente de Delve, afirma que la empresa genera reportes de auditoría falsificados y omite requisitos importantes de los marcos normativos mientras asegura a los clientes que han alcanzado 100% de cumplimiento. El viernes, Delve respondió a las acusaciones en su blog, calificando la publicación como “engañosa” y afirmando que contiene “varias afirmaciones inexactas”.
Detalles de las acusaciones contra Delve
Según la publicación en Substack, la controversia comenzó en diciembre cuando clientes recibieron un correo electrónico alegando que Delve había filtrado una hoja de cálculo con reportes confidenciales de clientes. Aunque el CEO de Delve, Karun Kaushik, supuestamente aseguró a los clientes que ninguna parte externa accedió a datos sensibles, varios clientes se volvieron suspicaces sobre las prácticas de la empresa.
DeepDelver alega que Delve proporciona a los clientes “evidencia fabricada de reuniones de junta directiva, pruebas y procesos que nunca ocurrieron”. Adicionalmente, la publicación acusa a la startup de obligar a los clientes a “elegir entre adoptar evidencia falsa o realizar trabajo principalmente manual con poca automatización o inteligencia artificial real”.
Cuestionamientos sobre firmas de auditoría
Las acusaciones también señalan que prácticamente todos los clientes de Delve parecen haber utilizado dos firmas de auditoría: Accorp y Gradient. DeepDelver describe estas empresas como “parte de la misma operación”, que opera principalmente en India con solo una presencia nominal en Estados Unidos. Según las alegaciones, estas firmas simplemente aprueban automáticamente reportes generados por Delve sin realizar revisiones independientes adecuadas.
Esta práctica, según DeepDelver, “invierte” la estructura normal de cumplimiento normativo al generar conclusiones de auditor, procedimientos de prueba y reportes finales antes de cualquier revisión independiente. El denunciante califica esto como “un fraude estructural que invalida toda la certificación”.
Respuesta oficial sobre cumplimiento normativo
En su respuesta, Delve niega emitir reportes de cumplimiento directamente. La empresa se describe como una “plataforma de automatización” que recopila información sobre cumplimiento normativo y proporciona acceso a esa información a los auditores. “Los reportes finales y opiniones son emitidos únicamente por auditores independientes licenciados, no por Delve”, afirmó la compañía.
Respecto a las acusaciones de proporcionar “evidencia falsa”, Delve argumenta que simplemente ofrece “plantillas para ayudar a los equipos a documentar sus procesos de acuerdo con los requisitos de cumplimiento”, una práctica común en otras plataformas de cumplimiento normativo. La empresa enfatizó que “las plantillas borrador no son lo mismo que evidencia pre-llenada”.
Vulnerabilidades de seguridad adicionales
Tras la publicación inicial en Substack, un usuario de X llamado James Zhou reportó haber obtenido acceso a información sensible de Delve, incluyendo verificaciones de antecedentes de empleados y calendarios de adquisición de capital. Jamieson O’Reilly, fundador de Dvuln, compartió detalles adicionales sobre lo que describió como “varios agujeros de seguridad evidentes en la superficie de ataque externa de Delve”.
Delve indicó que está “investigando activamente cualquier filtración” y continúa “revisando la publicación de Substack”. La empresa no ha proporcionado comentarios adicionales sobre las vulnerabilidades de seguridad específicas reportadas por Zhou y O’Reilly.
Se espera que Delve proporcione información más detallada en los próximos días mientras continúa su investigación interna. La respuesta de los inversores y la comunidad de cumplimiento normativo será crucial para determinar el impacto a largo plazo de estas acusaciones sobre la startup. Las empresas clientes de Delve enfrentan ahora la incertidumbre sobre la validez de sus certificaciones de cumplimiento y las posibles implicaciones regulatorias.