Delve – servicio de compliance falso

 (deepdelver.substack.com)
1 puntos por GN⁺ 2026-03-21 | 1 comentarios | Compartir por WhatsApp
  • Se reveló que la plataforma Delve operaba como un “sistema que hace parecer que se cumple” sin controles de seguridad reales
  • Según una investigación interna y el análisis de hojas de cálculo filtradas, los reportes de auditoría, pruebas y conclusiones eran generados automáticamente por Delve, y organismos de certificación con base en India los firmaban de manera meramente formal
  • Los clientes adoptaban evidencia falsa, actas de reunión falsas y documentos de políticas rellenados automáticamente para mostrar como si hubieran obtenido certificaciones SOC 2, ISO 27001, HIPAA y GDPR
  • Aunque Delve promociona automatización basada en IA, en la práctica es un sistema de formularios centrado en entradas manuales y carga de capturas de pantalla, y la mayoría de las funciones de “integración” no funcionan
  • Como resultado, cientos de empresas están publicando externamente un estado de seguridad falso y quedan expuestas a riesgos de incumplimiento de HIPAA y GDPR, además de responsabilidad legal

Problemas estructurales de Delve y principales revelaciones

  • Delve se promocionaba como una plataforma de automatización de compliance para SOC 2, ISO 27001, HIPAA y GDPR, pero en realidad violaba el principio de independencia de la auditoría al redactar por su cuenta las conclusiones de auditoría
    • Los borradores de reportes de auditoría ya incluían las conclusiones y procedimientos de prueba redactados por Delve, y el cliente solo debía completar nombre, firma y diagramas
    • Todos los reportes compartían la misma estructura de redacción y los mismos errores tipográficos, y más del 99% de 575 documentos contenían el mismo texto
  • Una hoja de cálculo de Google filtrada incluía enlaces a reportes de auditoría de cientos de clientes, exponiendo información sensible como firmas personales y diagramas de sistemas
    • El CEO de Delve afirmó que se trataba de “correos falsos generados por IA”, pero los documentos reales fueron verificados en un archivo público

Violación de independencia de auditoría y sistema de auditorías falsas

  • Delve asumía directamente el rol de auditor, violando las reglas de la AICPA
    • Las conclusiones de auditoría se redactaban por adelantado, en una estructura que impedía una verificación independiente
    • Organismos de certificación con base en India como Accorp, Gradient, BQC y Glocert firmaban los reportes a través de cascarones corporativos en EE. UU.
    • Algunos reportes incluían números de licencia de auditor incorrectos, lo que confirma indicios de copiado de una misma plantilla
  • Jayshree Dutta, identificada como responsable de auditoría, no es CPA en EE. UU. y fue vinculada a la empresa india CyberTryZub y a BQC

Falsedad del producto y del proceso

  • La “automatización con IA” de Delve es en realidad un sistema manual basado en formularios con muy pocas funciones reales de IA
    • La mayoría de las “integraciones” solo exigen subir capturas de pantalla sin procesos de autenticación
    • Políticas, evaluaciones de riesgo y simulaciones de seguridad consisten en plantillas con valores predeterminados que pueden completarse con solo hacer clic
  • Delve afirmaba haber desarrollado internamente el módulo Pathways, pero se confirmó que usó sin autorización el proyecto open source SimStudio
  • Los clientes debían adoptar actas falsas, resultados falsos de pruebas de seguridad y documentos de políticas, y si se negaban tenían que realizar manualmente la mayor parte del trabajo

Reportes falsos y manipulación de páginas de confianza

  • La Trust Page de Delve marcaba como “completados” controles de seguridad que en realidad no estaban implementados
    • 321 de 322 clientes de SOC 2 usaban el mismo conjunto de 51 controles
    • Medidas de seguridad inexistentes como MDM, detección de intrusiones, respaldos y eliminación de datos aparecían marcadas automáticamente
  • Los reportes SOC 2 Type II indicaban que se cumplían todos los criterios de “seguridad, disponibilidad, confidencialidad y privacidad”, pero en realidad solo se había probado un único punto de seguridad
    • Todos los reportes terminaban con la misma frase: “No exceptions noted”

Riesgos regulatorios y legales

  • Debido a los procesos falsos de Delve, los clientes quedan en situación de incumplimiento de GDPR y HIPAA
    • Las violaciones a HIPAA pueden implicar sanciones penales, y las de GDPR multas de hasta el 4% de la facturación global
    • Entre los afectados hay empresas que procesan datos médicos y de defensa, lo que genera riesgos a nivel de seguridad nacional
  • Los clientes de Delve presentaron externamente reportes de certificación falsos sin saberlo, y podrían enfrentar responsabilidades contractuales y reputacionales

Conclusión y recomendaciones

  • Delve es un caso de industrialización de una estructura de “automatización de compliance falsa” que expone a sus clientes a riesgos legales
  • Los clientes actuales deberían dejar por escrito toda comunicación con Delve y exigir aclaraciones sobre la generación de auditorías, la independencia del auditor y el alcance de la filtración de datos
  • El supuesto “proceso de confianza basado en IA” de Delve no es más que un sistema formal de generación de documentos, sin capacidad real de verificación de seguridad
  • Este caso muestra el colapso de la confianza en el mercado de automatización de compliance y vuelve a destacar la importancia de las auditorías independientes y de controles de seguridad reales

Lecturas relacionadas

1 comentarios

 
GN⁺ 2026-03-21
Opiniones de Hacker News

  • Muchas startups se caracterizan por moverse rápido con equipos pequeños
    Si construyes un buen producto, las grandes empresas quieren suscribirse, pero entonces aparece el proceso de certificación
    Las listas de verificación son útiles, pero están demasiado adaptadas a una burocracia al estilo europeo
    Terminas recibiendo preguntas como “¿dónde está el registro de riesgos de una empresa de 7 personas?” y dedicándote al papeleo en vez de a tu trabajo real
    La situación acaba siendo crear documentos que en realidad nadie va a leer, inventar procesos que no existen y traducir una empresa ágil al lenguaje de una corporación enorme
    Hace falta un estándar práctico y proporcional para equipos pequeños

    • Estoy completamente de acuerdo. Pero también pienso que, si las grandes empresas aplicaran estos estándares de forma más inteligente, ¿no tendrían una ventaja competitiva?
      Mi empresa es una Fortune 500, y el proceso de compras es tan complejo que es difícil adoptar SaaS
      En cambio, nuestros competidores consiguen buenos vendors rápidamente gracias a procesos más flexibles. Esa diferencia termina convirtiéndose en competitividad
    • Siento que CIS Controls v8.1 es realista y sí ayuda de verdad con la seguridad
      El Level 1 es bueno como base, y el Level 2 se puede aplicar de forma selectiva según el riesgo del negocio
      También vale la pena revisar CIS Benchmarks. Es una colección de mejores prácticas para seguridad en la nube, SaaS y sistemas operativos
    • Si el equipo no está listo, no debería intentar forzar el paso de una due diligence
    • El objetivo de un negocio al final es generar ganancias
      Si este “teatro corporativo” termina produciendo ingresos, entonces también forma parte del negocio
      Si no entregas el producto en la forma que el cliente exige, al final quedas fuera del mercado
    • Creo que estos procesos complejos de certificación son mecanismos diseñados para que ciertos actores controlen el acceso a los clientes
      La estructura beneficia a quienes controlan las listas de verificación

  • El compliance no es tan difícil si le dedicas el tiempo necesario y lo haces bien, sin buscar atajos
    Pienso que AWS es un verdadero proveedor de CaaS (Compliance as a Service)
    A través de AWS Artifact, ayuda a los clientes a pasar procesos complejos de certificación con mucha más facilidad
    Claro, el software y las políticas siguen siendo responsabilidad del usuario, pero la seguridad física, la gestión del hardware y la recuperación ante desastres se ofrecen prácticamente “gratis”

    • Estos beneficios no aplican solo a AWS, sino a todos los grandes proveedores de nube
      Aun así, comparado con proveedores de infraestructura más simples como Hetzner, el premium de costo es bastante alto

  • Me pregunto qué tan probable es que fundadores de poco más de 20 años quieran resolver con tanta pasión el problema de las auditorías de compliance
    Me parece un campo demasiado aburrido como para entusiasmarse de verdad. ¿O será que entran solo por la oportunidad?

    • Resolver problemas aburridos es más bien el manual clásico de las startups
      Se dice que cuanto más ordinario parece un problema, más dinero puede dar
      Como en el texto de Joel Spolsky, “Where there’s muck, there’s brass”
    • Trabajo en una empresa que crea software a medida para industrias reguladas
      Ingenieros brillantes de veintitantos están desarrollando monitoreo de Compliance Management System
      Están usando IA para resolver problemas de negocio de larga data. En la costa este de EE. UU. hay un mercado grande en banca, energía y salud
    • Más que pasión, creo que hay muchos veinteañeros con un fuerte deseo de ganar dinero
    • Yo también estoy en este sector, y el dominio es realmente seco y poco divertido
      Por suerte, la parte técnica sí es interesante
      Desde el punto de vista del cliente, el compliance duele tanto que incluso un poco de automatización ya aporta mucho valor
    • Esto parece una especie de nuevo modelo de consultoría
      Reúnes a veinteañeros inteligentes y levantas inversión bajo la idea de que van a “transformar la industria”
      Es parecido a cómo los consultores de McKinsey obtienen influencia más por el brand name que por el trabajo en sí
      YC también parece cumplir ese papel

  • Incluso si este texto fuera un ataque de un competidor, la evidencia presentada es muy contundente
    Si fuera falsa, los daños por difamación serían de decenas de millones de dólares
    Respeto el valor de asumir una denuncia así

  • Es interesante que el autor y su red empiecen a señalar el problema solo después de que se hizo evidente que sus certificaciones eran inválidas
    Ahora actúan como si fueran los ‘justicieros’ que expusieron a Delve

  • Yo pasé por este proceso directamente
    Creo que la falla de fondo fue que la entidad certificadora cobraba y emitía certificados sin verificar nada
    Intermediarios como Delve solo amplificaron ese fracaso
    Cualquiera en la industria sabía que esto no era más que security theater

  • Me impresionó la profundidad del texto
    Nosotros también estuvimos evaluando Drata recientemente, y al principio se veía bastante bien
    Pero cada vez que estalla algo así, me pregunto cuántos fraudes aún no descubiertos habrá

  • El único propósito de una prueba es encontrar fallas
    En un ambiente donde todos simplemente siguen la corriente, se siente refrescante que alguien señale estos problemas públicamente

  • Vi este texto en LinkedIn y me pareció realmente interesante
    Un artículo que profundiza tanto debería estar ya en la parte alta de HN

    • Probablemente la visibilidad fue suprimida de forma intencional
      Considerando que este es el sitio de Y Combinator, parece posible
      Algunas empresas que conozco obtuvieron un reporte SOC 2 Type 2 en 5 días a través de Delve
      Incluso usaban tal cual el mensaje de marketing “SOC 2 in days”. Cuesta creerlo

  • El compliance es algo que nadie quiere pero que todos necesitan
    Al final se percibe como un servicio para transferir responsabilidad
    Si el regulador pregunta, muestras un certificado de un lugar como Delve y ahí termina todo

    • Yo no querría trabajar en un lugar así
      Un proveedor SaaS debería tener un verdadero sentido de responsabilidad para proteger los datos de sus clientes
      Los frameworks de compliance son herramientas para apoyar ese esfuerzo
      Sirven para encontrar brechas, identificar riesgos, impulsar mejoras y explicar a los socios el nivel en que estamos
      Lo que describe el artículo de Medium es simplemente fraude
      Como fundador, quiero dar a mis clientes el nivel más alto de confianza
    • Nadie quiere pagar impuestos ni lavar ropa, pero son cosas que hay que hacer
      Con el compliance pasa lo mismo
    • Cuando yo estaba en la industria de ciberseguridad, era parecido
      La mayoría nos contrataba más para cumplir requisitos de seguro que para mejorar realmente la seguridad
      Al final, la estructura también buscaba trasladar la responsabilidad
    • Eso suena a alguien que no conoce la industria B2B
      En la práctica, muchos fundadores escuchan una y otra vez: “queremos comprar su producto, pero no podemos porque no tienen la certificación”
      Por eso se levantan pensando: “hoy tenemos que conseguir la certificación XYZ-123”
      El compliance no es pasarle la responsabilidad a otro, sino la condición mínima para demostrar confianza al cliente
      Todo juego que valga la pena tiene un costo de entrada (table stakes)
    • Nadie quiere hacer compliance por voluntad propia, pero
      si fundaste una empresa con obligaciones legales y morales, esa es una responsabilidad que debes asumir tú mismo
      Pasársela a otra empresa es una conducta irresponsable