Por Canuto La startup de cumplimiento Delve quedó fuera del directorio de Y Combinator en medio de una polémica por presuntas irregularidades en sus certificaciones de seguridad y privacidad. Mientras la aceleradora se distancia, la empresa rechaza las acusaciones, atribuye la filtración de datos a un ciberataque dirigido y promete nuevas auditorías, pruebas de penetración y cambios en su red de auditores.
***
- Delve ya no aparece en el directorio de empresas de Y Combinator, y su COO afirmó que ambas partes “han tomado caminos separados”.
- Las acusaciones anónimas sostienen que la startup habría automatizado o fabricado partes de informes de cumplimiento para cientos de clientes.
- La empresa niega haber engañado a clientes, asegura que sufrió una exfiltración de datos y anunció reauditorías y pentests gratuitos.
La startup de cumplimiento Delve atraviesa una crisis reputacional y corporativa que ya alcanzó a uno de sus patrocinadores más visibles. Y Combinator dejó de mostrar a la empresa en su directorio de portafolio, y la página dedicada a Delve en el sitio de la aceleradora fue eliminada. Poco después, la COO Selin Kocalar dijo en X que “YC y Delve han tomado caminos separados”.
El episodio ocurre después de varias semanas de acusaciones anónimas que cuestionan la forma en que Delve gestionaba certificaciones de seguridad y privacidad para sus clientes. La compañía, fundada en 2023 y parte de la camada Winter 2024 de Y Combinator, se enfoca en automatizar con IA tareas de back office asociadas al cumplimiento normativo, incluyendo procesos vinculados con SOC 2, ISO 27001, HIPAA y GDPR.
En el ecosistema tecnológico, este tipo de certificaciones es clave para startups que buscan vender a grandes empresas. Esos sellos suelen utilizarse como señal de que una organización mantiene controles mínimos de seguridad, manejo de datos y gobernanza. Por eso, cualquier cuestionamiento sobre la integridad del proceso puede golpear la confianza de clientes, inversores y auditores al mismo tiempo.
Además de la ruptura con Y Combinator, Insight Partners también pareció tomar distancia de Delve. Según reportó TechCrunch, algunas publicaciones sobre su inversión en la compañía fueron retiradas, aunque más tarde se restauró la principal entrada de blog relacionada con esa operación.
Qué se le reprocha a Delve
El origen de la controversia fue una publicación anónima en Substack atribuida a “DeepDelver”, quien se presentó como un antiguo cliente de Delve. Esa cuenta afirmó haber comenzado a sospechar de la empresa luego de recibir datos filtrados sobre clientes y procesos internos. Más tarde, publicó nuevas entradas con lo que describió como mensajes de Slack, video corporativo y otras evidencias adicionales.
Entre los señalamientos más delicados figura la acusación de que cientos de certificaciones o borradores de informes de cumplimiento podrían haber sido fabricados o preparados sin auditorías adecuadas. La investigación citada por The Economic Times sostuvo que múltiples informes SOC 2 seguían una misma plantilla, con redacción y errores idénticos, cambiando solo algunos detalles específicos de cada cliente.
También se alegó que ciertas conclusiones de auditoría estaban redactadas por adelantado y que repetían resultados idealizados, como la ausencia total de incidentes de seguridad o problemas operativos. Según esa versión, ese patrón sería improbable en la práctica real. La misma investigación añadió dudas sobre la independencia de algunos auditores asociados a Delve, anunciados como “basados en Estados Unidos”, pero supuestamente subcontratados a firmas en India que operaban mediante estructuras societarias estadounidenses.
Otro punto de fricción fue la forma en que se recopilaban pruebas de cumplimiento. DeepDelver afirmó que, pese a que Delve promocionaba integraciones con plataformas en la nube y repositorios de código, parte de los envíos se hacía de forma manual mediante capturas de pantalla, en lugar de conexiones automatizadas por API. Además, acusó a la empresa de utilizar una herramienta de código abierto como si fuera propia, sin dar crédito ni compensar al desarrollador original.
La controversia se amplió aún más cuando un investigador de seguridad dijo que pudo acceder a datos sensibles de Delve. En paralelo, la empresa quedó vinculada de forma indirecta a otra discusión del ecosistema open source, luego de que se detectara malware en un proyecto de código abierto desarrollado por LiteLLM, cliente de Delve.
La respuesta de la empresa y la tesis del ciberataque
Delve ha rechazado de forma consistente las acusaciones de haber engañado a clientes respecto a su nivel de cumplimiento. En su publicación de blog más reciente, Kocalar y el CEO Karun Kaushik dijeron que buscaban “aclarar las cosas sobre los ataques anónimos” y aseguraron que contrataron a una firma de ciberseguridad para ayudar a entender lo sucedido.
Según los ejecutivos, la evidencia recopilada apunta más a un ataque malicioso que a un auténtico denunciante. Su tesis es que un atacante compró Delve con falsos pretextos, exfiltró datos internos y luego utilizó ese material para lanzar una campaña coordinada de difamación. La empresa incluso publicó una captura de pantalla que, según su versión, mostraría al atacante extrayendo una hoja de cálculo de seguimiento de auditorías mediante file.io.
En esa misma defensa, Delve describió las críticas de DeepDelver como una mezcla de afirmaciones fabricadas, capturas de pantalla seleccionadas interesadamente y datos robados sacados de contexto. Como ejemplo, la empresa dijo que el propio material filtrado reconocía que su IA había automatizado el 70% de un cuestionario de seguridad, pese a que el autor de las acusaciones desacreditaba la utilidad de esa automatización.
Sobre el uso de software abierto, la startup sostuvo que construyó sobre un repositorio de código abierto con licencia Apache 2.0, la cual permite explícitamente el uso comercial, y que luego lo reconstruyó de forma significativa para adaptarlo a casos de uso de cumplimiento. A juicio de la empresa, presentar ese hecho como un “robo” buscó debilitar su credibilidad frente a clientes, inversores, empleados y auditores.
Kaushik también reiteró buena parte de esos puntos en X, aunque acompañó la defensa con una admisión importante. El ejecutivo afirmó que la firma creció demasiado rápido y no estuvo a la altura de su propio estándar. Además, ofreció disculpas profundas a los clientes por los inconvenientes causados.
Las medidas correctivas y lo que está en juego
Más allá de disputar la narrativa de las filtraciones, Delve anunció una serie de acciones correctivas para contener el daño y preservar la confianza de sus usuarios. Entre ellas figura una limpieza de la red de auditoría para retirar firmas que, según la empresa, no cumplían sus estándares internos. También prometió nuevas auditorías y pruebas de penetración gratuitas para todos los clientes activos.
La startup agregó que dejará “inequívocamente claro” que sus plantillas, incluidas las usadas para documentos como notas de reuniones de junta directiva, deben entenderse solo como puntos de partida. Ese matiz es importante, porque parte de la crítica se centró en la generación automática de documentación que luego podía circular con cambios mínimos, algo que puede resultar problemático si el cliente o el auditor no introducen revisiones sustantivas.
El caso importa más allá de una sola empresa. Certificaciones como SOC 2 e ISO 27001 operan como infraestructura reputacional para el mercado tecnológico. Si ese andamiaje pierde credibilidad, las compañías que dependen de esas credenciales pueden quedar expuestas a riesgos legales, financieros y comerciales. En el caso de HIPAA y GDPR, por ejemplo, los incumplimientos pueden traducirse en responsabilidades regulatorias severas y multas significativas.
Por ahora, no hay una respuesta pública de Y Combinator que detalle los motivos de la ruptura. Sin embargo, la salida de Delve del directorio del portafolio y la desaparición de su perfil son señales difíciles de ignorar. Una supuesta captura de pantalla de un mensaje de Garry Tan en Bookface también circuló sugiriendo que se pidió a la startup retirarse, aunque la comunicación oficial de Kocalar utilizó un tono más conciliador para describir la separación.
La historia aún está abierta. TechCrunch indicó que buscó comentarios de Y Combinator y de DeepDelver tras las nuevas declaraciones de Delve. Mientras tanto, la empresa enfrenta el reto de demostrar que sus procesos de cumplimiento eran sólidos, que la filtración fue producto de un ataque coordinado y que las medidas correctivas bastarán para reconstruir una confianza que hoy luce seriamente afectada.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público
Este artículo fue escrito por un redactor de contenido de IA
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Capital de Riesgo
Peter Thiel apuesta por Halter y sus collares solares para transformar la ganadería
Empresas
Microsoft enfría el discurso sobre Copilot y advierte: no debe usarse para consejos importantes
Bitcoin
Michael Saylor afirma que el ciclo de cuatro años de Bitcoin ya murió
Empresas