Escándalo en Delve: Startup de Cumplimiento Acusada de Engañar a Cientos de Clientes

Acusaciones Anónimas Sacuden a la Startup de Cumplimiento Delve

Una publicación anónima en Substack, divulgada esta semana, acusa a la startup de cumplimiento Delve de convencer «falsamente» a «cientos de clientes de que estaban cumpliendo» con las regulaciones de privacidad y seguridad, exponiéndolos potencialmente a «responsabilidad penal bajo HIPAA y fuertes multas bajo GDPR«.

Los Detalles de la Denuncia

El post, firmado por «DeepDelver», quien se describe como un empleado de un ex cliente de Delve, relata que en diciembre recibieron un correo electrónico afirmando que la startup había «filtrado una hoja de cálculo con informes confidenciales de clientes». Aunque el CEO de Delve, Karun Kaushik, aseguró posteriormente que no hubo acceso externo a datos sensibles, la sospecha creció entre algunos clientes.

«Al tener la experiencia compartida de estar decepcionados con Delve, y con la sensación general de que algo sospechoso ocurría, decidimos unir recursos e investigar juntos», escribió DeepDelver.

Acusaciones Específicas Contra Delve

• Evidencia Falsificada: Se alega que Delve proporciona a los clientes «evidencia fabricada de reuniones de junta, pruebas y procesos que nunca sucedieron».
• Auditorías Complicadas: DeepDelver afirma que prácticamente todos los clientes de Delve pasan por dos firmas de auditoría, Accorp y Gradient, descritas como «parte de la misma operación» con base principal en India, que simplemente rubrican informes generados por Delve.
• Estructura Fraudulenta: «Delve invierte la estructura normal de cumplimiento al generar conclusiones de auditoría, procedimientos de prueba e informes finales antes de cualquier revisión independiente», se afirma en el post.

La Respuesta de Delve

El viernes, Delve respondió en su blog, calificando el post de Substack como «engañoso» y diciendo que «contiene una serie de afirmaciones inexactas». La startup, respaldada por Y Combinator y que el año pasado anunció una ronda Serie A de $32 millones a una valoración de $300 millones, se defendió afirmando que es una «plataforma de automatización» que ingiere información sobre cumplimiento y proporciona acceso a los auditores.

«Los informes y opiniones finales son emitidos únicamente por auditores independientes y licenciados, no por Delve», declaró la empresa.

Sobre la acusación de «evidencia falsa», Delve contrarrestó que solo ofrece «plantillas para ayudar a los equipos a documentar sus procesos de acuerdo con los requisitos de cumplimiento, como lo hacen otras plataformas».

Réplica de DeepDelver y Nuevas Revelaciones

Al conocer la respuesta de Delve, DeepDelver expresó estar «perplejo por la pereza, torpeza y descaro de la misma», acusando a la startup de intentar eludir responsabilidades cambiando terminología.

Además, tras la publicación inicial en Substack, un usuario de X llamado James Zhou afirmó haber accedido a información sensible de Delve, como verificaciones de antecedentes de empleados y calendarios de adjudicación de acciones. Jamieson O’Reilly, fundador de Dvuln, compartió más detalles sobre «varios agujeros de seguridad gaping en la superficie de ataque externa de Delve».

Estado Actual y Próximos Pasos

Delve afirmó que está «investigando activamente cualquier filtración» y «aún revisando el Substack». DeepDelver prometió que «la Parte II seguirá pronto». La publicación inicial data del 21 de marzo de 2026 y ha sido actualizada con respuestas adicionales.

Este caso pone en entredicho los procesos de cumplimiento en la industria tecnológica y la responsabilidad de las startups en proteger la privacidad y seguridad de sus clientes.