Otro cliente de la problemática startup Delve sufrió un importante incidente de seguridad

La historia de la startup de cumplimiento Delve continúa enfrentando giros y vueltas.

TechCrunch confirmó que Delve fue la empresa de cumplimiento que realizó certificaciones de seguridad para Context AI, la startup de capacitación de agentes de IA que la semana pasada reveló un incidente de seguridad que provocó una filtración de datos en el popular gigante de alojamiento de sitios web y aplicaciones Vercel.

Por otro lado, Lovable, que tuvo su propio incidente de seguridad, ya no es cliente de Delve.

En resumen: el mes pasado, Delve fue criticada cuando un denunciante anónimo alegó que la startup estaba falsificando datos de clientesy utilizar auditores de sello de caucho en sus procesos de cumplimiento y certificaciones. Delve negó estas acusaciones.

Poco después, los piratas informáticos atacaron uno de los clientes de certificación de seguridad de Delve, LiteLLMy plantó malware en su código fuente abierto. Después del incidente, LiteLLM dijo a TechCrunch estaba abandonando Delve y obteniendo una recertificación.

profundizar también fue acusado de utilizar una herramienta de código abierto y hacerlo pasar como su propio trabajo sin la debida autorización. La reputación de la startup se volvió inestable, lo que llevó Y Combinator, donde se graduó Delvepara romper lazos.

Un avance rápido hasta el fin de semana pasado, Vercel dijo que los piratas informáticos habían violó sus sistemas internos y accedió a algunos datos de clientes. La compañía dijo que los piratas informáticos irrumpieron después de que un empleado descargara una aplicación creada por Context AI y conectara esa aplicación a la cuenta corporativa de Vercel alojada en Google. Los piratas informáticos abusaron del acceso de ese empleado a su cuenta de Google para ingresar a algunos de los sistemas internos de Vercel.

Después de que Context AI fuera nombrado en el ataque de Vercel, Gergely Orosz, autor del boletín de ingeniería The Pragmatic Engineer, dijo en una publicación en X que Delve fue la empresa que administró la certificación de seguridad de Context AI.

Context AI ahora ha confirmado a TechCrunch que utilizó Delve, pero desde entonces abandonó la puesta en marcha y está en proceso de recertificación.

“Sí, Context era anteriormente un cliente de Delve”, dijo un portavoz de Context AI a TechCrunch. “Tras los informes de Delve en marzo, trasladamos nuestro programa de cumplimiento a Vanta y contratamos a Insight Assurance, una firma de auditoría independiente, para realizar exámenes adicionales. Como parte de la revisión, hemos comenzado a actualizar nuestros materiales públicos y compartiremos la nueva certificación cuando esté completa”, agregó el portavoz.

Las certificaciones de seguridad por sí solas no eliminan los problemas de seguridad. Su propósito es verificar que una empresa cuenta con políticas y procesos implementados para prevenir ataques y reducir la probabilidad de que los datos de los clientes se vean comprometidos.

Caso en cuestión: Lovable era cliente de Delve, pero después de que se hicieran públicas las acusaciones del denunciante, La plataforma de codificación por vibración dijo que abandonó la puesta en marcha a finales de 2025. La compañía ya completó una certificación de seguridad nuevamente y está en proceso de rehacer otras, dijo.

Aún así, encantador en lunes admitido que sin darse cuenta había compartido públicamente el acceso a los datos de chat de los clientes. La compañía también dijo que rechazó los informes de vulnerabilidad que alertaron a la compañía sobre el problema meses antes. Lovable se disculpó por negar inicialmente que hubiera habido una violación de datos, aunque dijo que el problema fue causado por un error de configuración y no por un hackeo.

Hay noticias aún más extrañas circulando por Delve. El denunciante anónimo, DeepDelver, publicó otra publicación alegando que Delve estaba negando reembolsos a los clientes, pero aún así llevó a su equipo de más de 20 personas a una reunión externa en Hawaii entre el 15 y el 19 de abril.

El denunciante compartió algunos recibos convincentes con TechCrunch que dan crédito al supuesto viaje a Hawaii, pero TechCrunch no pudo confirmar otras acusaciones.

Delve no respondió a las solicitudes de comentarios y confirmación, y se respondió un correo electrónico enviado a su dirección de relaciones con los medios.