Delve acusado de engañar a los clientes con un “cumplimiento falso”

Uno publicación anónima de subpila publicado esta semana acusa inicio de cumplimiento Profundizar de convencer “falsamente” a “cientos de clientes de que cumplían” las normas de privacidad y seguridad, exponiendo potencialmente a estos clientes a “responsabilidad penal según HIPAA y fuertes multas según GDPR”.

Delve es una startup respaldada por Y Combinator que el año pasado anunció recaudar US$ 32 millones para la Serie A con una valoración de 300 millones de dólares. (La ronda fue dirigida por Insight Partners). El viernes, la startup intentó refutar las acusaciones. en tu blogcalificar la publicación de Substack como “engañosa” y decir que “contiene una serie de afirmaciones inexactas”.

La publicación de Substack se atribuye a “DeepDelver”, quien se describió a sí mismo como trabajando en un (ahora antiguo) cliente de Delve. En respuesta a las preguntas enviadas por correo electrónico de TechCrunch, DeepDelver dijo que ellos y sus colaboradores “eligieron permanecer en el anonimato por temor a represalias por parte de Delve”.

En su publicación, DeepDelver informó haber recibido un correo electrónico en diciembre afirmando que la startup había “filtrado una hoja de cálculo de informes confidenciales de clientes”. Aunque el director ejecutivo de Delve, Karun Kaushik, aparentemente aseguró a los clientes en un correo electrónico posterior que cumplían y que ningún tercero obtuvo acceso a datos confidenciales, DeepDelver dijo que ellos y otros clientes comenzaron a sospechar.

“Al tener la experiencia compartida de no estar impresionados con la experiencia de Delve y tener la sensación general de que algo sospechoso estaba sucediendo, decidimos reunir recursos e investigar juntos”, escribieron.

¿Su conclusión? Que Delve “logra su pretensión de ser la plataforma más rápida al producir evidencia falsa, generar conclusiones de auditoría en nombre de las fábricas de certificación que sellan informes e ignorar los requisitos clave del marco mientras les dice a los clientes que han logrado el 100% de cumplimiento”.

DeepDelver entró en detalles considerables sobre estas acusaciones, acusando a la startup de proporcionar a los clientes “evidencia fabricada de reuniones de la junta, pruebas y procesos que nunca sucedieron”, y luego obligó a esos clientes a “elegir entre adoptar evidencia falsa o realizar trabajo principalmente manual con poca automatización real o IA”.

DeepDelver también afirmó que prácticamente todos los clientes de Delve parecen haber pasado por dos firmas de auditoría, Accorp y Gradient, que describió como “parte de la misma operación”, una que opera principalmente en India, con sólo una presencia nominal en Estados Unidos.

Estas empresas, dijeron, son sólo informes aprobados generados por Delve. Como resultado, DeepDelver dijo que la startup “invierte” la estructura de cumplimiento normal: “Al generar conclusiones del auditor, procedimientos de prueba e informes finales antes de que se lleve a cabo cualquier revisión independiente, Delve se pone en el papel de implementador y examinador. Esto no es un tecnicismo. Es un fraude estructural que invalida toda la certificación”.

Además de acusar a Delve de engañar a sus clientes, DeepDelver dijo que la startup está ayudando a esos clientes a “engañar al público alojando páginas confiables que contienen medidas de seguridad que nunca se implementaron”.

DeepDelver dijo que mientras su empresa discutía sus problemas con Delve, la startup “nos envió varias cajas de donas […] para mantenernos felices”. Sin embargo, según se informa, el empleador de DeepDelver ha anulado la publicación de su página de confianza y ya no depende de la startup para su cumplimiento.

Delve respondió a las acusaciones diciendo que no emite ningún informe de cumplimiento. Más bien, es una “plataforma de automatización” que ingiere información de cumplimiento y luego proporciona a los auditores acceso a esa información.

“Los informes y opiniones finales son emitidos exclusivamente por auditores independientes y autorizados, no por Delve”, dijo la empresa.

Delve también dijo que sus clientes “pueden optar por trabajar con un auditor de su elección o elegir trabajar con una de las redes de firmas de auditoría independientes y acreditadas de Delve”. Estos auditores, dijo la startup, son “empresas establecidas ampliamente utilizadas en toda la industria, incluidas otras plataformas de cumplimiento”.

En respuesta a la acusación de que está proporcionando “pruebas falsas” a los clientes, Delve respondió que simplemente ofrece “plantillas para ayudar a los equipos a documentar sus procesos de acuerdo con los requisitos de cumplimiento, al igual que otras plataformas de cumplimiento”.

“Los borradores de plantillas no son lo mismo que las ‘evidencias precargadas’”, dijo la compañía.

Delve agregó que está “investigando activamente cualquier fuga” y “aún revisando Substack”.

Cuando se le preguntó sobre la respuesta de Delve, DeepDelver dijo a TechCrunch que estaban “sorprendidos por la pereza, la torpeza y la audacia de la misma”.

“Están tratando de escapar [of] “Se les culpa por negar tener ‘evidencia previamente completada’ pero llamarlas ‘plantillas’, lo que efectivamente traslada la culpa a los clientes por adoptar las ‘plantillas’ tal como están”, dijo DeepDelver. “Afirman que no son ellos quienes ‘emiten’ el informe, lo cual es fácil de afirmar si se define la emisión de un informe como proporcionar el sello de goma final”.

Agregaron que hay “una serie de acusaciones muy serias” que Delve no abordó: “La acusación de India, la falta de IA (solo hablan de ‘automatizaciones’) y la página de confianza (risas) que contiene controles que nunca se implementaron”.

Aparentemente, DeepDelver aún no ha terminado con sus revisiones, como prometió: “La Parte II llegará pronto”.

Además, después de la publicación inicial de Substack, un usuario de X llamado James Zhou el dijo pudieron obtener acceso a información confidencial de Delve, como verificaciones de antecedentes de los empleados y cronogramas de adquisición de derechos. Jamieson O’Reilly, fundador de Dvuln compartió más detalles De lo que O’Reilly dijo fue una conversación con Zhou sobre “varias fallas de seguridad en la superficie de ataque externa de Delve”.

TechCrunch envió un correo electrónico solicitando comentarios adicionales a la dirección de contacto con los medios que figura en el sitio web de Delve. El correo electrónico fue rechazado, pero después de la publicación de este artículo, recibí una invitación del calendario para una “demostración de Delve” a finales de esta semana.

Esta publicación se publicó inicialmente el 21 de marzo de 2026. Se actualizó con respuestas por correo electrónico de DeepDelver, información adicional sobre supuestas vulnerabilidades de seguridad proporcionada por Jamieson O’Reilly y detalles adicionales sobre la respuesta de Delve a TechCrunch.