Una publicación anónima en Substack publicada esta semana acusa a la startup de cumplimiento Delve de convencer falsamente a cientos de clientes. Las acusaciones sugieren que esto podría exponer a los clientes a responsabilidad penal bajo HIPAA y multas significativas bajo el GDPR. Delve intentó refutar los cargos en su blog el viernes.
El autor, conocido como DeepDelver, describió su experiencia como empleado de un cliente anterior de la empresa. Según su relato, el equipo de Delve generó evidencia de auditoría fabricada para cumplir con requisitos de certificación. Esto incluye supuestas actas de juntas directivas y pruebas que nunca ocurrieron realmente.
DeepDelver detalló que la mayoría de los clientes de Delve pasaron por dos firmas de auditoría, Accorp y Gradient. Estas firmas se describen como parte de la misma operación con una presencia nominal en Estados Unidos. El acusado afirma que estas entidades solo sellaban los informes generados internamente por la startup.
La dirección de Delve respondió que no emiten informes de cumplimiento directamente. Según el director ejecutivo, Karun Kaushik, su plataforma ingesta información de seguridad y proporciona acceso a auditores independientes. Afirmaron que los informes finales son emitidos exclusivamente por contadores licenciados y no por la startup.
Ante la acusación de proporcionar evidencia falsa, Delve argumentó que ofrece plantillas para ayudar a los equipos a documentar procesos. La compañía señaló que las plantillas de borrador no son consideradas evidencia precargada por sus estándares. Sin embargo, DeepDelver encontró esta explicación confusa y poco clara en su respuesta oficial.
El ex empleado criticó la respuesta de Delve como una forma de evitar la rendición de cuentas cambiando las definiciones de términos. También señaló que la empresa no abordó acusaciones graves sobre seguridad y el uso de herramientas de IA. Prometió que la segunda parte de la investigación seguiría pronto con más detalles.
Adicionalmente, un usuario de la plataforma X llamado James Zhou afirmó haber accedido a información sensible de Delve. El fundador de Dvuln, Jamieson O’Reilly, compartió detalles sobre vulnerabilidades de seguridad en la superficie de ataque externa. Esto añade una capa de preocupación sobre la propia infraestructura de seguridad de la startup.
La controversia ocurre poco después de que Delve anunciara una ronda de financiación Serie A de 32 millones de dólares. Este capital fue liderado por Insight Partners y valoró a la empresa en 300 millones de dólares. La reputación de la startup podría verse afectada significativamente por estas revelaciones públicas.
Las implicaciones de este caso podrían extenderse a todo el sector de tecnologías de cumplimiento automatizado. Si las acusaciones se confirman, otros clientes podrían enfrentar riesgos legales por confiar en certificaciones no verificadas. El mercado de herramientas de seguridad podría exigir mayor transparencia en los procesos de auditoría.
Delve sigue investigando cualquier filtración de datos y revisando el contenido de la publicación en Substack. TechCrunch intentó contactar a la empresa a través de su dirección de prensa sin éxito inicial. Una invitación para una demostración fue recibida posteriormente por el equipo de noticias.
