En este momento estás viendo Delve es acusada de engañar a sus clientes con un «cumplimiento falso»
Equipo de la startup Delve respaldada por Y Combinator.

Delve es acusada de engañar a sus clientes con un «cumplimiento falso»

  • Autor de la entrada:
  • Categoría de la entrada:Resto del Mundo
  • Última modificación de la entrada:marzo 23, 2026

Una publicación anónima en Substack, difundida esta semana, acusa a la startup de cumplimiento normativo Delve de haber convencido falsamente a cientos de clientes de que cumplían con las regulaciones de privacidad y seguridad, exponiéndolos potencialmente a responsabilidad penal bajo la HIPAA y a cuantiosas multas bajo el RGPD.

Delve es una startup respaldada por Y Combinator que el año pasado anunció una ronda de financiación Serie A de 32 millones de dólares, con una valoración de 300 millones de dólares. (La ronda fue liderada por Insight Partners). El viernes, la startup intentó refutar las acusaciones en su blog, calificando la publicación de Substack de engañosa y afirmando que contiene varias afirmaciones inexactas.

La publicación de Substack se atribuye a «DeepDelver», quien se identificó como empleado de un antiguo cliente de Delve. En respuesta a las preguntas enviadas por correo electrónico, DeepDelver declaró que él y sus colaboradores optaron por permanecer en el anonimato por temor a represalias por parte de Delve.

En su publicación, DeepDelver relató haber recibido un correo electrónico en diciembre en el que se afirmaba que la startup había «filtrado una hoja de cálculo con informes confidenciales de clientes». Si bien el CEO de Delve, Karun Kaushik, aparentemente aseguró a los clientes en un correo electrónico posterior que cumplían con la normativa y que ningún tercero había accedido a datos confidenciales, DeepDelver afirmó que tanto ellos como otros clientes habían empezado a sospechar.

«Al compartir la decepción con la experiencia de Delve y tener la sensación general de que algo raro estaba pasando, decidimos aunar esfuerzos e investigar juntos», escribieron.

¿Su conclusión?. Que Delve «logra su afirmación de ser la plataforma más rápida mediante la falsificación de pruebas, la generación de conclusiones de auditoría en nombre de empresas de certificación fraudulentas que aprueban informes sin más, y eludiendo requisitos importantes del marco normativo mientras asegura a los clientes que han alcanzado el 100% de cumplimiento».

DeepDelver ofreció detalles considerables sobre estas acusaciones, acusando a la startup de proporcionar a sus clientes «pruebas falsificadas de reuniones de junta directiva, pruebas y procesos que nunca ocurrieron», obligándolos a «elegir entre adoptar pruebas falsas o realizar un trabajo mayoritariamente manual con escasa automatización o IA real».

DeepDelver también afirmó que prácticamente todos los clientes de Delve parecen haber pasado por dos firmas de auditoría, Accorp y Gradient, que describieron como «parte de la misma operación», la cual opera principalmente en India, con una presencia mínima en Estados Unidos.

Según DeepDelver, estas firmas simplemente aprueban sin más los informes generados por Delve. En consecuencia, DeepDelver afirmó que la startup «invierte» la estructura de cumplimiento habitual: «Al generar conclusiones de auditoría, procedimientos de prueba e informes finales antes de cualquier revisión independiente, Delve se posiciona como implementador y examinador. Esto no es una mera formalidad. Es un fraude estructural que invalida toda la certificación».

Además de acusar a Delve de engañar a sus clientes, DeepDelver afirmó que la startup está ayudando a estos clientes a «engañar al público al alojar páginas de confianza que contienen medidas de seguridad que nunca se implementaron».

DeepDelver declaró que, mientras su empresa discutía sus problemas con Delve, la startup «nos envió varias cajas de donas […] para mantenernos contentos». Sin embargo, el empleador de DeepDelver supuestamente eliminó su página de confianza y ya no depende de la startup para el cumplimiento normativo.

Delve respondió a las acusaciones afirmando que no emite informes de cumplimiento. En cambio, es una «plataforma de automatización» que recopila información sobre cumplimiento y luego proporciona acceso a dicha información a los auditores.

«Los informes y opiniones finales son emitidos exclusivamente por auditores independientes y autorizados, no por Delve», declaró la empresa.

Delve también indicó que sus clientes «pueden optar por trabajar con un auditor de su elección o con uno de la red de firmas de auditoría externas independientes y acreditadas de Delve». Según la startup, esos auditores son «firmas consolidadas y ampliamente utilizadas en el sector, incluso por otras plataformas de cumplimiento normativo».

En respuesta a la acusación de proporcionar a sus clientes «pruebas falsas», Delve replicó que simplemente ofrece «plantillas para ayudar a los equipos a documentar sus procesos de acuerdo con los requisitos de cumplimiento, al igual que otras plataformas de cumplimiento».

«Las plantillas en borrador no son lo mismo que “pruebas prellenadas”», afirmó la empresa.

Delve añadió que está «investigando activamente cualquier filtración» y que «sigue revisando Substack».

Al ser consultada sobre la respuesta de Delve, DeepDelver declaró que les «perpleja la pereza, la torpeza y la desfachatez de la misma».

«Intentan eludir su responsabilidad negando tener “pruebas prellenadas” y llamándolas “plantillas”, trasladando así la culpa a los clientes por adoptar las “plantillas” tal cual», declaró DeepDelver. “Afirman que no son ellos quienes ‘emiten’ el informe, lo cual es fácil de afirmar si se define la emisión de un informe como proporcionar el sello final”.

Añadieron que existen “varias acusaciones muy graves” que Delve no abordó en absoluto: “La acusación sobre India, la falta de IA (solo hablan de ‘automatizaciones’) y la página de confianza con controles que nunca se implementaron”.

Al parecer, DeepDelver no ha terminado con sus críticas, ya que prometió: “La segunda parte llegará pronto”.

Además, tras la publicación inicial en Substack, un usuario de X llamado James Zhou afirmó haber accedido a información confidencial de Delve, como verificaciones de antecedentes de empleados y calendarios de adquisición de acciones. El fundador de Dvuln, Jamieson O’Reilly, compartió más detalles de lo que, según él, fue una conversación con Zhou sobre “varias brechas de seguridad importantes en la superficie de ataque externa de Delve”.

Se envió un correo electrónico solicitando comentarios adicionales a la dirección de contacto de prensa que figura en el sitio web de Delve. El correo rebotó, pero después de la publicación de este artículo, se recibió una invitación de calendario para una “demostración de Delve” a finales de esta semana.

Etiquetas: , , , , , , , , , , , , , , , , , , , , , , , , ,