Una publicación anónima en Substack ha desatado una controversia significativa esta semana al acusar a la startup de cumplimiento normativo Delve de engañar a cientos de clientes sobre su estado de conformidad con regulaciones de privacidad y seguridad. Según el autor anónimo conocido como “DeepDelver”, la empresa respaldada por Y Combinator habría expuesto potencialmente a sus clientes a responsabilidad criminal bajo HIPAA y multas sustanciales bajo GDPR. Las acusaciones de fraude en certificaciones de cumplimiento han puesto en entredicho la credibilidad de una compañía valuada en 300 millones de dólares.
Delve, que el año pasado anunció una ronda de financiación Serie A de 32 millones de dólares liderada por Insight Partners, respondió el viernes a través de su blog calificando las afirmaciones como “engañosas” y señalando que contienen “numerosas declaraciones inexactas”. La controversia ha generado preocupación en la industria tecnológica sobre la integridad de las plataformas de cumplimiento automatizado.
Acusaciones de fraude en certificaciones de cumplimiento
DeepDelver, quien se identifica como empleado de un antiguo cliente de Delve, detalló acusaciones graves contra la startup. Según la publicación en Substack, la empresa “produce evidencia falsa, genera conclusiones de auditores en nombre de certificadoras que simplemente aprueban informes sin revisión, y omite requisitos importantes de los marcos normativos mientras asegura a los clientes que han alcanzado el 100% de cumplimiento”.
El autor anónimo explicó que decidió investigar tras recibir un correo electrónico en diciembre sobre una supuesta filtración de una hoja de cálculo con informes confidenciales de clientes. Aunque el CEO de Delve, Karun Kaushik, supuestamente aseguró que ninguna parte externa accedió a datos sensibles, varios clientes comenzaron a sospechar de las prácticas de la compañía.
Additionally, DeepDelver acusó a la startup de proporcionar a los clientes “evidencia fabricada de reuniones de junta directiva, pruebas y procesos que nunca ocurrieron”. Según el denunciante, esto forzaba a los clientes a elegir entre adoptar evidencia falsa o realizar trabajo mayormente manual con poca automatización real.
Vínculos cuestionables con firmas auditoras
La publicación también señaló que prácticamente todos los clientes de Delve parecen haber pasado por dos firmas de auditoría: Accorp y Gradient. DeepDelver describió estas empresas como “parte de la misma operación”, que opera principalmente en India con solo presencia nominal en Estados Unidos.
Según las acusaciones, estas firmas simplemente aprueban informes generados por Delve sin revisión independiente. DeepDelver argumentó que esto “invierte” la estructura normal de cumplimiento normativo: “Al generar conclusiones de auditores, procedimientos de prueba e informes finales antes de cualquier revisión independiente, Delve se coloca en el rol tanto de implementador como de examinador”.
Páginas de confianza engañosas
El denunciante también alegó que Delve ayuda a sus clientes a “engañar al público al alojar páginas de confianza que contienen medidas de seguridad que nunca fueron implementadas”. DeepDelver indicó que su empleador finalmente despublicó su página de confianza y dejó de depender de la startup para el cumplimiento normativo.
Respuesta de Delve a las acusaciones
En su respuesta oficial, Delve negó emitir informes de cumplimiento directamente. La compañía se describió como una “plataforma de automatización” que ingiere información sobre cumplimiento y proporciona a los auditores acceso a esa información, señalando que “los informes finales y opiniones son emitidos únicamente por auditores independientes y licenciados, no por Delve”.
Regarding las acusaciones de “evidencia falsa”, Delve afirmó que simplemente ofrece “plantillas para ayudar a los equipos a documentar sus procesos de acuerdo con los requisitos de cumplimiento”. La empresa insistió en que “las plantillas borrador no son lo mismo que ‘evidencia prellenada'”.
However, DeepDelver respondió a TechCrunch calificando la respuesta de Delve como “perezosa, torpe y descarada”. El denunciante argumentó que la empresa intenta “escabullirse de ser responsabilizada” al negar tener “evidencia prellenada” pero llamándola “plantillas”, efectivamente trasladando la culpa a los clientes.
Vulnerabilidades de seguridad adicionales
Tras la publicación inicial, un usuario de X llamado James Zhou afirmó haber obtenido acceso a información sensible de Delve, incluyendo verificaciones de antecedentes de empleados y calendarios de adquisición de acciones. Jamieson O’Reilly, fundador de Dvuln, compartió detalles adicionales sobre lo que describió como “varios agujeros de seguridad evidentes en la superficie de ataque externa de Delve”.
Meanwhile, DeepDelver prometió que “la Parte II seguirá pronto”, sugiriendo que revelará acusaciones adicionales contra la startup. El denunciante destacó que Delve no abordó varias alegaciones serias, incluyendo las operaciones en India, la falta de inteligencia artificial real y las páginas de confianza con controles no implementados.
La controversia continúa desarrollándose mientras los clientes actuales y anteriores de Delve evalúan sus certificaciones de cumplimiento. DeepDelver indicó que eligió permanecer anónimo por temor a represalias. Se espera que la segunda parte de las acusaciones proporcione evidencia adicional sobre las prácticas cuestionables de la startup, mientras la industria aguarda para ver si otras empresas de cumplimiento enfrentan escrutinio similar o si surgirán acciones regulatorias contra Delve y sus firmas auditoras asociadas.