Delve enfrenta acusaciones por supuesta 'falsa conformidad' con normativas

Un reciente post anónimo en Substack ha acusado a la startup de cumplimiento Delve de "falsamente" convencer a "cientos de clientes" de que cumplían con las regulaciones de privacidad y seguridad, lo que podría exponer a estos clientes a "responsabilidad penal bajo HIPAA y fuertes multas bajo GDPR".

Delve, respaldada por Y Combinator, había anunciado el año pasado la recaudación de 32 millones de dólares en una ronda de financiación valorada en 300 millones. Sin embargo, el viernes, la empresa intentó refutar las acusaciones en su blog, calificando el post de "engañoso" y afirmando que contiene "numerosas afirmaciones inexactas".

El autor del post, conocido como DeepDelver, se describió como un ex cliente de Delve. Relató que recibió un correo electrónico en diciembre informando sobre una filtración de una hoja de cálculo con informes confidenciales de clientes. A pesar de que el CEO de Delve, Karun Kaushik, aseguró que estaban en cumplimiento y que no hubo acceso externo a datos sensibles, DeepDelver y otros clientes comenzaron a sospechar.

En el post, DeepDelver explicó que, ante la sensación de insatisfacción con Delve, decidieron unir fuerzas para investigar la situación. Su conclusión fue que Delve logra su afirmación de ser la plataforma más rápida generando evidencia falsa, emitiendo conclusiones de auditores en nombre de "molinos de certificación" que aprueban informes sin un análisis real.

El post detalló cómo Delve supuestamente proporcionó a los clientes "evidencias fabricadas de reuniones de directorio, pruebas y procesos que nunca ocurrieron", obligando a los clientes a elegir entre adoptar evidencia falsa o realizar un trabajo manual con escasa automatización o inteligencia artificial.

Además, DeepDelver mencionó que la mayoría de los clientes de Delve parecen haber pasado por dos firmas de auditoría, Accorp y Gradient, que describió como "parte de la misma operación" con una presencia mínima en Estados Unidos.

Las firmas, según DeepDelver, simplemente validan informes generados por Delve. Esto, afirmaron, invierte la estructura normal de cumplimiento: "Al generar conclusiones de auditor, procedimientos de prueba e informes finales antes de cualquier revisión independiente, Delve se coloca en el rol de implementador y examinador. Esto no es un tecnicismo, es un fraude estructural que invalida toda la atestación".

En respuesta a las acusaciones, Delve afirmó que no emite informes de cumplimiento, sino que actúa como una "plataforma de automatización" que ingiere información sobre cumplimiento y proporciona acceso a auditores. Aseguraron que los informes finales y las opiniones son emitidos únicamente por auditores independientes y licenciados.

Delve también indicó que sus clientes pueden optar por trabajar con un auditor de su elección o con uno de su red de firmas de auditoría acreditadas. La compañía añadió que está investigando activamente cualquier filtración y revisando el post en Substack.

Tras la publicación del post, un usuario en X llamado James Zhou afirmó que pudo acceder a información sensible de Delve, como verificaciones de antecedentes de empleados y cronogramas de adquisición de acciones. El fundador de Dvuln, Jamieson O'Reilly, compartió más detalles sobre supuestas vulnerabilidades de seguridad en Delve.

TechCrunch envió un correo electrónico solicitando comentarios adicionales a la dirección de contacto de medios listada en el sitio web de Delve, pero el correo rebotó. Sin embargo, posteriormente se recibió una invitación de calendario para una "demostración de Delve" para más adelante en la semana.

Esta publicación se ha actualizado con información adicional sobre las supuestas vulnerabilidades de seguridad proporcionadas por Jamieson O'Reilly y detalles adicionales sobre la respuesta de Delve a TechCrunch.