Un artículo anónimo en Substack, firmado como “DeepDelver” y supuestamente escrito por empleados de un excliente, acusa a la startup de cumplimiento normativo Delve de haber hecho creer a cientos de empresas que cumplían con regulaciones de privacidad y seguridad (como HIPAA y GDPR) cuando, en realidad, no lo hacían. De ser cierto, estas compañías podrían enfrentarse a graves sanciones legales y económicas.

Delve, respaldada por Y Combinator y que levantó una Serie A de 32 millones de dólares a una valoración de 300 millones, se presenta como una plataforma de automatización de cumplimiento. DeepDelver sostiene que esa “rapidez” se lograría a costa de generar “pruebas falsas”: plantillas y documentos que simularían reuniones de consejo, pruebas y procesos que nunca ocurrieron, además de conclusiones de auditoría elaboradas por la propia Delve y supuestamente validadas por dos firmas, Accorp y Gradient, descritas como “certificadoras de sello de goma” con base real en India y presencia meramente nominal en EE. UU.

Según el denunciante, Delve invierte el rol habitual del auditor: actúa al mismo tiempo como quien implementa los controles y quien genera las conclusiones, lo que, a su juicio, constituye un “fraude estructural” que invalidaría las certificaciones de cumplimiento emitidas. También acusa a la startup de ayudar a sus clientes a engañar al público con “páginas de confianza” que listarían medidas de seguridad inexistentes. Tras discutir sus quejas con la empresa, el denunciante afirma que su compañía eliminó esa página y dejó de depender de Delve, pese a intentos de la startup de suavizar la situación con gestos como el envío de cajas de donuts.

Delve niega los señalamientos y sostiene que no emite informes de cumplimiento, sino que solo centraliza la información y la pone a disposición de auditores externos independientes. Asegura que sus clientes pueden elegir las firmas que prefieran o usar su red de despachos “establecidos y acreditados”, y defiende que lo que el denunciante llama “pruebas falsas” son en realidad simples plantillas para documentar procesos, práctica común en el sector. La compañía afirma estar investigando posibles filtraciones y revisando el contenido del Substack.

DeepDelver, sin embargo, critica la respuesta de Delve como evasiva y sostiene que la empresa reetiqueta la “evidencia prefabricada” como “plantillas” para cargar la responsabilidad en los clientes. Además, acusa a Delve de omitir explicaciones sobre tres puntos clave: la verdadera operación de sus firmas auditoras en India, el uso real de IA (frente a simples automatizaciones) y la inclusión en las páginas de confianza de controles que no se habrían implementado. El denunciante promete una “Parte II” con nuevas revelaciones.

Tras la publicación del Substack, un usuario de X, James Zhou, aseguró haber accedido a información sensible de Delve, como verificaciones de antecedentes de empleados y calendarios de vesting de acciones, y el fundador de Dvuln, Jamieson O’Reilly, detalló posibles “agujeros de seguridad” en la superficie de ataque externa de la startup. TechCrunch intentó contactar a Delve; el correo a la dirección oficial rebotó, aunque posteriormente el periodista recibió una invitación a una demo del producto. El artículo se ha ido actualizando con nuevas respuestas del denunciante y detalles sobre las supuestas vulnerabilidades y la réplica de Delve.