Delve vendía cumplimiento falso y luego llamó hacker al denunciante

Delve era una startup de Y Combinator que vendía cumplimiento en materia de seguridad a otras empresas. Alcanzó una valoración de 300 millones de dólares prometiendo auditorías en días, no en meses. Entonces, un grupo anónimo llamado DeepDelver demostró que las auditorías eran en su mayoría falsas. Los fundadores respondieron tachando a la fuente de hacker.

¿Qué vendía Delve y qué salió mal?

Delve vendía software que ayuda a una empresa a superar una auditoría de seguridad. La principal es la SOC 2. Es un informe que un proveedor enseña a sus clientes para demostrar que mantiene sus datos a salvo. El proceso normal lleva de seis a doce meses. Delve prometía el mismo resultado en días. Unos agentes de IA recopilarían las pruebas y redactarían la documentación. Esa rapidez era todo el argumento de venta.

La empresa salió de Y Combinator y creció deprisa. Sus fundadores eran Karun Kaushik y Selin Kocalar, ambos exalumnos del MIT que dejaron la carrera con poco más de veinte años, y ambos en la lista Forbes 30 Under 30. Recaudaron unos 35 millones de dólares, incluida una ronda de Serie A liderada por Insight Partners, y alcanzaron una valoración de 300 millones. La propia web de Delve sigue afirmando que cuenta con la confianza de más de 1500 de las empresas de más rápido crecimiento. Dice que sus agentes de IA hacen capturas de pantalla, redactan informes y validan tus pruebas por ti.

Delve vendía cumplimiento «en días». Captura de pantalla de delve.co.

Esa última frase es el problema. Una auditoría solo significa algo si una persona real revisa las pruebas. Si una máquina redacta el informe y un sello lo firma, el cliente compra un documento, no seguridad. El argumento que hizo rápida a Delve es el mismo que dejó las auditorías huecas. Una empresa de cumplimiento había convertido el cumplimiento, sin hacer ruido, en un trabajo de copiar y pegar.

¿Por qué nadie cuestionó una auditoría de cinco días? Porque la rapidez era el objetivo. Los clientes querían el distintivo para cerrar acuerdos. Los inversores querían crecimiento. Los auditores cobraban igual. Todos los eslabones de la cadena tenían un motivo para no preguntar cómo se hacía de verdad. Así que nadie preguntó.

Lo que descubrieron los críticos anónimos

En marzo de 2026, un grupo anónimo que firmaba como DeepDelver publicó una investigación. Se apoyaba en una hoja de cálculo interna filtrada. Sus miembros eran antiguos clientes que intercambiaron impresiones. Sus cifras eran difíciles de descartar. De 494 informes SOC 2, 493 usaban el mismo texto de plantilla. Solo cambiaban el nombre y el logotipo de la empresa. Más que una auditoría, parecía un buscar y reemplazar.

• Los 259 informes de Tipo II llevaban la misma conclusión del auditor, palabra por palabra.
• El mismo error de mecanografía, «Because there no security incidents reported», al que le falta la palabra «is», aparecía en los 259.
• Un informe aún conservaba pegado un texto promocional de producto: «Cluely is a desktop AI assistant to give you answers in real-time».
• En 259 empresas sin relación entre sí, los datos de prueba eran el mismo aporreo de teclado, «sdf, g, dlkjf».
• Las conclusiones del auditor estaban redactadas antes de que los clientes hubieran entregado prueba alguna.

El propio argumento de Delve: agentes de IA que «redactan informes» y «validan tus pruebas». Captura de pantalla de delve.co.

DeepDelver afirmó que los auditores que Delve presentaba como firmas estadounidenses se remontaban a despachos en el extranjero que usaban direcciones virtuales. El tono del grupo era de incredulidad, no de rabia. Decían estar «desconcertados por la pereza, la torpeza y el descaro de todo aquello». Delve, escribieron, alcanzó su afirmación de ser la plataforma más rápida «produciendo pruebas falsas». Si eso es cierto, las consecuencias son enormes. Cientos de empresas dijeron a sus propios clientes que estaban a salvo. La prueba era un informe que nadie había redactado de verdad.

El precio había sido una pista silenciosa desde el principio. Según se informó, algunas auditorías de Delve costaban solo unos pocos miles de dólares. Una auditoría SOC 2 de verdad le lleva a un experto muchas horas, así que esa cifra nunca cuadraba. Al menos un responsable de seguridad reconoció después que la tarifa barata le había inquietado durante meses antes de la filtración. Aun así, el mercado quería creer en la ganga.

Cómo respondió Delve a las acusaciones

Delve replicó con dureza. Dijo que no emite auditorías en absoluto. Que solo opera una plataforma de automatización. «Los informes y dictámenes finales los emiten exclusivamente auditores independientes y autorizados, no Delve», afirmó la empresa. Las plantillas de borrador, argumentó, no son pruebas precargadas. El 4 de abril, los fundadores publicaron un vídeo. Acumuló casi 5 millones de visualizaciones.

Vale la pena ver el vídeo por cómo cambia de rumbo. Empieza como una disculpa y luego se vuelve contra la fuente. Los fundadores piden perdón por las «molestias». Prometen una nueva red de auditores y nuevas auditorías gratuitas. Luego replantean la historia como un delito cometido contra ellos, no por ellos.

That said, we grew too fast and fell short of our own standard. To our customers, we deeply apologize for the inconveniences caused. [...] The evidence we have points to a targeted cyberattack from a malicious actor, not a "whistleblower."

- Karun Kaushik (@karunkaushik_) 4 de abril de 2026

Léelo otra vez. La persona que destapó el problema se convierte en «un actor malicioso». Delve dice que ese actor «adquirió Delve con falsos pretextos» y «extrajo datos internos de la empresa». Es la jugada más vieja que existe. Cuando no puedes negar los documentos, atacas al mensajero. Puede que de verdad se hiciera un uso indebido de unas credenciales. Aun así, llamar hacker a un denunciante lanza un único mensaje a todos los empleados que miran. Si hablas de nosotros, iremos a por ti. Un órgano consultivo de la UE mostró el mismo instinto cuando dio caza en secreto a la fuente anónima detrás de las denuncias de corrupción contra su propia dirección.

Por qué quienes lo sabían se mantuvieron en el anonimato

Un detalle se pierde entre el resto de la cobertura. Ningún empleado de Delve puso su nombre a esto. El informe vino de fuera, de clientes que juntaron lo que habían visto. Permanecieron sin rostro a propósito. Se enfrentaban a una startup bien financiada y con abogados a su disposición. Calcularon que dar su nombre les saldría caro. La respuesta del director ejecutivo, lo de «hacker», demostró que tenían razón.

Ese silencio interno es la verdadera advertencia. Mucha gente en Delve tuvo que saberlo. Vieron los informes idénticos, los datos de prueba sin sentido, el error de mecanografía en cada copia. Ninguno tenía una vía segura para decirlo. No había un canal de confianza que recogiera la preocupación de un trabajador, ocultara su nombre y obligara a una revisión de verdad. Así que la verdad tuvo que dar un gran rodeo. Llegó a través de personas anónimas ajenas a la empresa, meses después de las primeras señales.

Un canal de denuncias confidencial existe precisamente para este momento. Permite que un único ingeniero preocupado señale un problema sin jugarse el puesto en ello. La cuestión no es el papeleo. Una denuncia temprana y protegida puede frenar una pequeña podredumbre antes de que se convierta en una de 300 millones de dólares. Delve tenía las pruebas a la vista de todos. No tenía a nadie dentro que se sintiera lo bastante seguro como para hacer saltar la alarma.

La ley estadounidense sí protege a algunos denunciantes frente a las represalias. Pero una ley sobre el papel es un pobre consuelo frente a una demanda y la etiqueta pública de «hacker». La mayoría de la gente sopesa ese riesgo y se calla. Por eso el canal importa más que la ley. Un trabajador necesita primero una vía segura, o el derecho a denunciar nunca llega a usarse.

Las consecuencias alcanzaron a Y Combinator, a Insight Partners y a un tribunal

El vídeo no salvó a la empresa. En cuestión de días, Y Combinator eliminó a Delve de su directorio y pidió a los fundadores que abandonaran el programa. Es una ruptura pública poco habitual con uno de los suyos. Insight Partners retiró brevemente de la red su nota de inversión. La cronología siguiente muestra lo rápido que una hoja de cálculo filtrada se convirtió en una crisis en toda regla.

Una segunda publicación de DeepDelver fue más allá de las auditorías chapuceras. Acusó a Delve de coger el código de código abierto de una startup rival de YC y revenderlo como producto propio. Esa acusación cambió la historia de los atajos al robo. Para muchos observadores, ese fue el momento en que la simpatía se transformó en enfado.

La exposición legal se extendió de Delve a sus clientes. Una demanda colectiva ante un tribunal federal de California señaló a la empresa por sus «auditorías de seguridad fraudulentas». Toda empresa que hubiera enseñado un informe de Delve a sus clientes tenía ahora un problema. Puede que su promesa de seguridad no se sostenga. La profesión contable también se movió. El organismo de revisión entre pares del AICPA indicó a los revisores que señalaran evaluaciones de riesgo y pruebas idénticas entre distintos clientes.

La reacción pública se situó entre la furia y la comedia negra. Una publicación muy compartida captó el ambiente. Falsificar las auditorías era malo pero superable, decía, mientras que robar el código de otra startup «cruza la línea». Bajo las bromas había un miedo real. Si una empresa de Y Combinator con inversores de renombre podía sacar cientos de auditorías huecas, ¿cuánto del mercado del cumplimiento descansa sobre documentos que nadie lee?

Por qué aquí un sello SOC 2 dejó de significar algo

La lección de fondo va sobre la confianza, no sobre una sola startup. Un informe SOC 2 funciona porque el comprador da por sentado que alguien independiente hizo la comprobación. Los críticos de Delve dicen que ese supuesto es el punto débil. Casi nadie lee más allá de la portada. Clarence Chio, que dirige la empresa de cumplimiento Coverbase, expuso la solución con claridad.

«La pregunta "¿Tiene este proveedor una SOC 2?" siempre fue la pregunta equivocada. La pregunta correcta es "¿Hace este proveedor realmente lo que afirma su SOC 2?"»
Clarence Chio, director ejecutivo de Coverbase

Esa brecha, entre tener un certificado y merecerlo, subyace a célebres colapsos contables. Arthur Andersen, el auditor de Enron, dio el visto bueno a una ficción. WorldCom ocultó miles de millones. Theranos vendió un producto que nunca funcionó. Cada vez, una cifra en la que el público confiaba resultó estar amañada. Delve solo trasladó el truco de un balance contable a un distintivo de seguridad.

El pie de página de la web de Delve, tras estallar el escándalo: «Spoiler: aprobamos nuestras auditorías». Captura de pantalla de delve.co.

El cumplimiento que no puedes verificar no es cumplimiento. Una auditoría rápida que se salta la comprobación es peor que ninguna auditoría. Vende una falsa calma a los mismos clientes a los que debería proteger. Las empresas que compraron la rapidez de Delve están aprendiendo ahora que un sello es tan honesto como el proceso que hay detrás.

Lo que falta en toda la historia es la vía segura que nunca existió. El fraude era visible desde dentro mucho antes de que cualquiera de fuera juntara las piezas. Un trabajador con una forma segura y anónima de denunciar, y con protección real frente a las represalias, podría haberlo sacado a la luz en la primera semana. En cambio, salió a la luz cuando la valoración, los clientes y la confianza ya se habían esfumado. Un software de denuncias como WeMoral existe para dar a ese trabajador una puerta que no lleve directa a una acusación de «hacker». Delve es lo que pasa cuando nadie tiene una.