La startup de cumplimiento Delve ya no figura en el directorio de Y Combinator, un reflejo público del distanciamiento entre la aceleradora y la compañía. La directora de operaciones, Selin Kocalar, confirmó en la red social X que «YC y Delve han partido caminos«, y recordó con agradecimiento la experiencia del proceso de admisión. Otros inversores también dieron pasos similares; por ejemplo, Insight Partners eliminó temporalmente referencias a su inversión, antes de restaurar una entrada principal.
La salida de Delve del ecosistema público de su aceleradora se enmarca en una serie de publicaciones anónimas que plantearon dudas sobre la calidad técnica y la integridad de los servicios ofrecidos. El autor conocido como DeepDelver aseguró haber obtenido datos filtrados y publicó evidencia que, según él, mostraba prácticas inadecuadas en la generación de informes de cumplimiento. Al mismo tiempo, investigadores externos reportaron accesos a información sensible y se detectó código malicioso en un proyecto de código abierto vinculado a un cliente de Delve, LiteLLM.
Acusaciones publicadas y su alcance
Las publicaciones de DeepDelver incluyeron capturas de mensajes y fragmentos de vídeo que, en opinión del autor, ilustraban recortes de procedimientos críticos y la automatización excesiva de entregables. Entre las críticas se encuentra la afirmación de que Delve habría automatizado plantillas para procesos de auditoría y entregado documentos a lo que el denunciante llamó «molinos de certificación», es decir, entidades que aprueban sin evaluar a fondo.
Esas aseveraciones provocaron inquietud entre clientes y socios, y explican en parte por qué algunos inversionistas optaron por tomar distancia.
Elementos técnicos y sospechas de filtración
Además de las capturas, se citó la existencia de datos filtrados sobre clientes y la posible reutilización de herramientas de código abierto sin acuerdos adecuados con sus autores. Un investigador de seguridad también afirmó que pudo acceder a información sensible de la compañía, lo que sumó una dimensión técnica a la controversia.
Paralelamente apareció la noticia sobre la presencia de malware en un repositorio asociado a LiteLLM, añadiendo presión sobre la narrativa de riesgo operativo que rodea a la startup.
La respuesta oficial de Delve
En su defensa, los fundadores de Delve, entre ellos el CEO Karun Kaushik, publicaron un comunicado en el que atribuyen los hechos a un ataque malicioso y anuncian la contratación de una firma de ciberseguridad para investigar. La compañía sostiene que la evidencia apunta a un actor que, bajo supuestos falsos, compró servicios, exfiltró datos internos y los empleó para una campaña coordinada. Como parte de su explicación, Delve mostró una captura que, según indica, documenta la transferencia de una hoja de auditoría mediante file.io y negó que las críticas representen un denunciante legítimo.
Reclamos sobre el uso de código abierto
Respecto a la acusación de apropiación de software de terceros, Delve afirmó que se basó en un repositorio con licencia Apache 2.0, la cual permite uso comercial, y que su equipo realizó modificaciones sustanciales para adaptar la herramienta a casos de cumplimiento. La empresa insistió en que no hubo intención de atribuirse la autoría original sin reconocer las licencias aplicables, aunque el reclamo del denunciante cuestiona la comunicación y los acuerdos con los desarrolladores del proyecto original.
Medidas anunciadas y consecuencias
Para restaurar confianza, Delve detalló medidas operativas: revisar y depurar su red de firmas auditoras para eliminar socios que «no cumplen nuestros estándares», ofrecer re-auditorías y pruebas de intrusión gratuitas a clientes activos, y aclarar que las plantillas que entrega son puntos de partida y no evidencias finales de conformidad. Además, el CEO reconoció públicamente que la compañía «creció demasiado rápido» y pidió disculpas por no mantener el estándar propio, en un intento por matizar la narrativa pública.
El impacto reputacional ya se refleja en la pérdida del estatus dentro de Y Combinator y en la cautela de ciertos inversionistas. TechCrunch ha intentado obtener comentarios tanto de Y Combinator como del autor anónimo DeepDelver, sin que hasta ahora se cierre el ciclo informativo. El horizonte inmediato para Delve incluirá la resolución técnica de la investigación, la recuperación de la confianza de clientes y la supervisión que puedan ejercer reguladores o socios estratégicos.
