Delve, startup de cumplimiento, acusada de fraude y evidencia falsa

Escándalo en el sector tecnológico: Acusaciones graves contra Delve

Una publicación anónima en Substack esta semana acusa a la startup de cumplimiento Delve de «convencer falsamente» a «cientos de clientes de que estaban cumpliendo» con regulaciones de privacidad y seguridad como HIPAA y GDPR, exponiéndolos potencialmente a responsabilidad penal y multas cuantiosas.

Contexto de la startup y respuesta inicial

Delve es una startup respaldada por Y Combinator que el año pasado anunció una ronda Serie A de $32 millones a una valoración de $300 millones, liderada por Insight Partners. En respuesta a las acusaciones, la startup publicó en su blog que el post de Substack es «engañoso» y «contiene una serie de afirmaciones inexactas».

Detalles de las acusaciones por «DeepDelver»

El post de Substack, atribuido a «DeepDelver» (que se describe como empleado de un ex cliente de Delve), relata que en diciembre recibió un correo sobre una filtración de un spreadsheet con informes confidenciales de clientes. Aunque el CEO de Delve, Karun Kaushik, aseguró a los clientes que estaban en cumplimiento y que no hubo acceso externo a datos sensibles, DeepDelver y otros clientes se volvieron sospechosos.

«Al tener la experiencia compartida de estar decepcionados con la experiencia de Delve, y con la sensación general de que algo raro estaba ocurriendo, decidimos unir recursos e investigar juntos», escribió DeepDelver.

Afirmaciones clave de la investigación

• Evidencia falsa: Se acusa a Delve de producir evidencia falsa de reuniones de junta, pruebas y procesos que nunca ocurrieron.
• Auditorías cuestionables: DeepDelver afirma que casi todos los clientes de Delve usan dos firmas de auditoría, Accorp y Gradient, descritas como «parte de la misma operación» con presencia nominal en EE.UU. y operaciones principales en India, que rubrican informes generados por Delve sin revisión independiente.
• Estructura fraudulenta: Según DeepDelver, Delve «invierte» la estructura normal de cumplimiento al generar conclusiones de auditoría antes de cualquier revisión, colocándose en el papel de implementador y examinador, lo que constituye un fraude estructural.
• Engaño al público: Se alega que Delve ayuda a los clientes a engañar al público al alojar páginas de confianza con medidas de seguridad no implementadas.

Respuesta detallada de Delve

Delve respondió que no emite informes de cumplimiento, sino que es una «plataforma de automatización» que ingiere información y proporciona acceso a los auditores. «Los informes finales y las opiniones son emitidos únicamente por auditores independientes y licenciados, no por Delve», dijo la empresa.

Sobre la acusación de evidencia falsa, Delve contrarrestó que ofrece «plantillas para ayudar a los equipos a documentar sus procesos de acuerdo con los requisitos de cumplimiento», aclarando que «las plantillas de borrador no son lo mismo que ‘evidencia prellenada'».

Además, Delve afirmó que los clientes pueden optar por trabajar con auditores de su elección o de la red de la startup, y que está investigando activamente cualquier filtración y revisando el post de Substack.

Consecuencias y situación actual

DeepDelver mencionó que, mientras su empresa discutía los problemas con Delve, la startup «nos envió múltiples cajas de donas para mantenernos felices». Sin embargo, su empleador supuestamente despublicó su página de confianza y ya no depende de Delve para el cumplimiento.

Se intentó contactar a las partes involucradas para obtener comentarios adicionales, pero no se ha confirmado una respuesta oficial más allá de las declaraciones públicas.