La startup de cumplimiento Delve ha sido eliminada de la cartera de Y Combinator (YC), lo que indica unas consecuencias importantes tras las acusaciones de engañar a los clientes y prácticas operativas cuestionables. La compañía ya no figura en el sitio web de YC, y el director de operaciones de Delve, Selin Kocalar, confirmó la división en X y afirmó: “YC y Delve se han separado”. Esta medida sigue a un distanciamiento similar por parte de Insight Partners, quienes eliminaron temporalmente las menciones de su inversión antes de restaurar parte del contenido.
El núcleo de la controversia
La disputa se centra en afirmaciones realizadas por una fuente anónima, “DeepDelver”, que alega que Delve tergiversó sus capacidades de cumplimiento, potencialmente vendiendo certificaciones ineficaces a los clientes. DeepDelver compartió datos filtrados y comunicaciones internas que sugerían que Delve automatizara informes para fábricas de certificación cuestionables, omitiendo la debida diligencia necesaria.
Las acusaciones aumentaron aún más cuando se descubrió malware en un proyecto de código abierto utilizado por un cliente de Delve, LiteLLM. Si bien la conexión exacta sigue sin estar clara, este incidente se suma al creciente escrutinio en torno a la seguridad y la integridad operativa de Delve.
La respuesta de Delve: ¿ataque o denuncia de irregularidades?
Los ejecutivos de Delve, Karun Kaushik y Selin Kocalar, han negado con vehemencia las acusaciones, calificándolas de una campaña de desprestigio coordinada y orquestada por un actor malicioso. Afirman que un atacante compró acceso con falsos pretextos, extrajo datos y los utilizó para dañar la reputación de Delve.
La compañía afirma que ha contratado a una empresa de ciberseguridad para investigar, señalando evidencia de robo de datos y acusando a DeepDelver de fabricación y presentación selectiva de evidencia. También defienden su uso de herramientas de código abierto, argumentando que cumplieron con los términos de la licencia y mejoraron significativamente el software con fines de cumplimiento.
Medidas de control de daños
Para mitigar las consecuencias, Delve anunció varias acciones correctivas:
- Eliminación de firmas auditoras que no cumplan con sus estándares.
- Ofrecer reauditorías y pruebas de penetración gratuitas a los clientes existentes.
- Aclarar que sus plantillas pretenden ser puntos de partida, no soluciones finales de cumplimiento.
El director ejecutivo Kaushik reconoció que la empresa creció demasiado rápido y no cumplió con sus propios estándares, y se disculpó con los clientes afectados.
“Crecimos demasiado rápido y no alcanzamos nuestro propio estándar. A nuestros clientes, nos disculpamos profundamente por los inconvenientes causados”. —Karun Kaushik
Qué significa esto
La situación de Delve resalta los riesgos inherentes a las nuevas empresas de rápido crecimiento que priorizan la escala sobre la verificación. Las acusaciones, verdaderas o falsas, han dañado la confianza de los inversores y plantean dudas sobre el rigor del cumplimiento en el sector tecnológico. La salida de Y Combinator es una clara señal de que incluso las aceleradoras altamente selectivas cortarán sus vínculos con empresas que enfrentan graves problemas de integridad.
El incidente subraya la importancia de la transparencia, la seguridad de los datos y la diligencia debida exhaustiva tanto para las nuevas empresas como para sus clientes. Sin ellos, incluso las empresas prometedoras pueden desmoronarse rápidamente bajo escrutinio.
