Mundo, 24 de mar 2026 (ATB Digital).- Delve, una startup de cumplimiento normativo respaldada por Y Combinator que recaudó 32 millones de dólares en una Serie A a una valoración de 300 millones (liderada por Insight Partners), enfrenta acusaciones graves: haber convencido «falsamente a cientos de clientes de que estaban en cumplimiento» con regulaciones como HIPAA y GDPR, exponiéndolos a responsabilidad penal y multas millonarias. Las acusaciones provienen de un post anónimo en Substack firmado por «DeepDelver», que se identifica como empleado de un ex cliente de Delve.
DeepDelver detalló que Delve «consigue su afirmación de ser la plataforma más rápida produciendo evidencia falsa, generando conclusiones de auditoría en nombre de fábricas de certificación que sellan informes sin revisarlos, y saltándose requisitos importantes de los marcos regulatorios mientras dice a los clientes que han alcanzado el 100% de cumplimiento.»
Las acusaciones punto por punto
Primero: evidencia fabricada. Delve supuestamente proporciona a sus clientes «evidencia de reuniones de junta, pruebas y procesos que nunca ocurrieron», obligándoles a «elegir entre adoptar evidencia falsa o realizar trabajo manual sin automatización real». Segundo: auditoras fantasma. Prácticamente todos los clientes habrían sido auditados por dos firmas —Accorp y Gradient— que DeepDelver describe como «parte de la misma operación», con sede principal en India y presencia nominal en EE.UU. Estas firmas sellarían informes generados por Delve sin revisión independiente. Tercero: páginas de confianza falsas. Delve alojaría páginas públicas que certifican controles de seguridad nunca implementados.
Delve respondió calificando las acusaciones de «engañosas» y diciendo que ofrece «plantillas», no evidencia prerrellenada, y que los informes finales son emitidos por «auditores independientes acreditados». DeepDelver replicó que esto es «trasladar la culpa a los clientes por adoptar las plantillas tal cual».
Tras la publicación, un usuario de X afirmó haber accedido a información sensible de Delve (verificaciones de antecedentes, calendarios de vesting). El fundador de Dvuln compartió detalles de vulnerabilidades de seguridad en la superficie de ataque externa de Delve. Para una empresa que vende compliance de seguridad, tener sus propias vulnerabilidades es un nivel de ironía que no necesita explicación. TechCrunch intentó contactar a Delve; el email rebotó. Después, el periodista recibió una invitación para una «demo de Delve».
Mi valoración: si se confirman las acusaciones, Delve representa uno de los fraudes más relevantes del ecosistema YC en años. El compliance automatizado es una categoría en auge —Vanta, Drata, Secureframe compiten por el mismo mercado— y un escándalo así puede erosionar la confianza en toda la categoría. Los clientes de Delve con certificaciones HIPAA o SOC 2 deberían revisarlas urgentemente con auditores independientes.
Fuente: Whatsnew.com