Delve y la ‘falsa conformidad’: cuando el compliance se convierte en truco de crecimiento

1 de abril de 2026
5 min de lectura
Ilustración abstracta de un panel con certificados de seguridad y iconos de advertencia en una oficina de startup

Delve y la ‘falsa conformidad’: cuando el compliance se convierte en truco de crecimiento

Lo que está ocurriendo alrededor de Delve va mucho más allá de un hilo polémico en X. Toca un nervio central del ecosistema tecnológico: hemos convertido la seguridad y el cumplimiento normativo en un producto que se compra por suscripción, en lugar de una práctica que se construye desde dentro. Cuando el atajo –el “SOC 2 en semanas”– se convierte en la propuesta de valor, la presión por cumplir objetivos comerciales puede chocar frontalmente con la realidad técnica. En este análisis veremos qué nos dice el caso Delve sobre la industria de compliance automatizado y qué debería preocupar a empresas europeas y latinoamericanas.

La noticia en breve

Según informa TechCrunch, el startup estadounidense Delve, especializado en automatizar tareas de cumplimiento y certificación de seguridad, se enfrenta a nuevas acusaciones por parte de un denunciante anónimo que se identifica como DeepDelver. Después de que el fundador y CEO Karun Kaushik negara en un largo mensaje en X que la empresa hubiera fabricado evidencias para auditorías de sus clientes, el denunciante publicó otro hilo con supuestas “pruebas”: un vídeo y capturas de pantalla de mensajes internos en Slack.

Delve, egresado de Y Combinator en 2023 y fundado por jóvenes de 21 años que abandonaron el MIT, ofrece software para automatizar la obtención de certificaciones de seguridad y demostrar cumplimiento con normativas como el GDPR europeo. El verano pasado levantó una ronda Serie A de 32 millones de dólares liderada por Insight, pocos meses después de un seed de 3 millones.

TechCrunch subraya además que uno de sus clientes más visibles, LiteLLM, sufrió recientemente un incidente viral cuando un proyecto open source fue infectado con malware, pese a haber obtenido dos certificaciones de seguridad utilizando Delve. El denunciante ha prometido más revelaciones.

Por qué importa

Este caso importa porque pone en cuestión la moneda de cambio del SaaS moderno: la confianza alquilada. Muchas startups no tienen músculo interno para levantar un programa sólido de seguridad, así que externalizan buena parte del problema: auditores, frameworks, plataformas de compliance que prometen “hacer el trabajo sucio”. Si una de esas piezas resulta poco fiable, todas las demás quedan bajo sospecha.

¿Quién gana y quién pierde aquí?

  • Clientes de Delve: pueden descubrir que sus certificados y acuerdos firmados en base a ellos no valen tanto como pensaban. Si se demostrara que hubo manipulación, sus propios clientes y reguladores pedirán explicaciones.
  • Fondos e inversores: una Serie A de 32 millones de dólares tan poco tiempo después del seed habla de una narrativa de hipercrecimiento. La duda es si la due diligence en este tipo de startups se ha centrado más en el tamaño del pipeline comercial que en la robustez del producto.
  • El ecosistema de certificaciones: muchos equipos de seguridad ya ven SOC 2 o ISO 27001 como una especie de “teatro de seguridad”. Un caso sonado de posible “fake compliance” desde luego no ayuda a restaurar la fe en estos sellos.

En el corto plazo, el segmento de plataformas de compliance automatizado puede salir tocado. Incluso los jugadores serios tendrán que demostrar con mucho más detalle cómo recogen y validan evidencias. Por otro lado, firmas más tradicionales –consultoras, auditoras, equipos internos de seguridad– pueden aprovechar para reivindicar procesos más lentos pero transparentes.

El fondo del asunto es cultural: si el compliance se mide por el número de logos en la web y no por el riesgo residual que realmente baja, es cuestión de tiempo que alguien decida “optimizar” el proceso de una forma que cruza líneas éticas.

El panorama más amplio

El supuesto escándalo en torno a Delve encaja en varias tendencias globales.

Primero, hemos visto una explosión de herramientas de compliance. En Silicon Valley han crecido empresas como Vanta o Drata; en Europa, soluciones centradas en privacidad y seguridad; en América Latina, plataformas que ayudan a pymes a cumplir con normativas locales de protección de datos inspiradas en el GDPR o la LGPD brasileña. El mensaje suele ser: conecta tus cuentas en la nube, responde un solo cuestionario y deja que el sistema genere la documentación.

Segundo, la industria se ha acostumbrado a delegar criterio en plantillas y automatismos. Políticas escritas por IA, controles mapeados a múltiples marcos normativos con un clic, respuestas estándar a cuestionarios de seguridad de clientes enterprise. Todo esto ahorra tiempo, sí, pero también puede adormecer la reflexión crítica sobre si lo que se declara en el papel ocurre realmente en la práctica.

Tercero, el auge de la IA generativa multiplica tanto la complejidad como el marketing. Startups de infraestructura de IA venden a bancos, aseguradoras y empresas de salud en Europa y Latinoamérica, mercados donde las exigencias regulatorias son altas. De ahí el atractivo de promesas como “consigue tu ISO o SOC 2 en semanas”. El caso LiteLLM –malware en un proyecto con dos certificaciones– es un recordatorio incómodo de que el sello no equivale a seguridad.

Si comparamos con los grandes despachos de auditoría, empresas como Delve juegan con otra velocidad y otra cultura. Pero hay dominios –criptografía, aviación, sistemas críticos– en los que esa cultura simplemente no funciona. La ciberseguridad y el tratamiento de datos personales, especialmente bajo marcos como GDPR o la Ley Federal de Protección de Datos Personales en México, se parecen más a esos dominios que a la típica app de consumo.

La mirada europea e hispanohablante

Para empresas en España, América Latina y el resto de Europa, el caso Delve plantea una pregunta incómoda: ¿hasta dónde se puede externalizar el cumplimiento normativo sin perder el control real?

En la UE, regulaciones como el GDPR, la próxima Ley de IA, la directiva NIS2 o DORA para servicios financieros dejan claro que la responsabilidad última recae en la organización, no en su proveedor de software. Europa continental, con mercados especialmente sensibles a la privacidad como el alemán, ya mira con cierta desconfianza los sellos fáciles.

En España y en varios países latinoamericanos, muchas scaleups de SaaS y fintech recurren a plataformas de compliance –a menudo estadounidenses– para obtener rápidamente certificaciones que les abren puertas con clientes globales. Pero si una herramienta se ve envuelta en acusaciones de “fake compliance”, esas certificaciones pueden perder valor ante bancos, aseguradoras o grandes retailers que ya están nerviosos por los ciberataques.

Posibles efectos si el caso escala:

  • Compras más exigentes: departamentos de seguridad y riesgo en bancos españoles, aseguradoras mexicanas o grupos de telecomunicaciones brasileños revisarán con más dureza cómo funcionan por dentro estas plataformas.
  • Ventana de oportunidad para actores locales: empresas europeas o latinoamericanas que combinen tecnología con consultoría regulatoria profunda podrán diferenciarse frente a soluciones percibidas como puro “checkbox”.
  • Mayor foco en evidencia viva: en lugar de PDFs estáticos una vez al año, crecerá el interés por métricas continuas de seguridad y por procesos que puedan auditarse de extremo a extremo.

Mirando hacia adelante

El desenlace del caso dependerá del contenido de las próximas filtraciones y de cómo reaccionen tres actores: clientes, inversores y reguladores.

Si aparecen pruebas claras de manipulación intencionada, es razonable esperar:

  • investigaciones internas, potencialmente acompañadas por despachos externos especializados,
  • clientes que exijan auditorías adicionales o revisen contratos apoyados en esos certificados,
  • un mayor interés de autoridades de protección de datos en Europa y de supervisores financieros o de ciberseguridad en otras regiones.

Si el material apunta más a procesos poco maduros que a fraude deliberado, la consecuencia será más blanda pero igualmente relevante: el caso Delve se convertirá en ejemplo de todo lo que puede salir mal cuando se confunde “automatizar” con “delegar responsabilidades”.

Para usted, como lector que opera en el mundo tecnológico hispanohablante, hay varias señales a vigilar:

  • ¿Qué hacen los clientes de referencia? ¿Se pronuncian públicamente, pausan proyectos, piden aclaraciones?
  • ¿Cómo responden las firmas de auditoría? ¿Endurecen criterios para aceptar evidencias generadas automáticamente?
  • ¿Empiezan los reguladores a mencionar explícitamente estas herramientas en sus guías y sanciones, tanto en la UE como en países con leyes de datos inspiradas en el GDPR?

La oportunidad está en aprovechar este momento para redefinir el enfoque: del “compliance como sello” al compliance como hábito organizativo, con herramientas que ayudan pero no sustituyen el criterio profesional.

En resumen

El caso Delve no va solo de un startup de Y Combinator, sino de un sistema que ha convertido la conformidad en un servicio empaquetado y marketiniano. Tanto si las acusaciones se confirman como si no, el mensaje es claro: quien trate el compliance como un atajo comercial está jugando con su activo más valioso, la confianza. Como empresa, la pregunta incómoda es: ¿sabe realmente cómo se ha obtenido el próximo certificado que luce en su web, o solo conoce el logo del proveedor?

Comentarios

Deja un comentario

Aún no hay comentarios. ¡Sé el primero!

Publicaciones relacionadas

Ilustración de un ejecutivo de tecnología frente a una red brillante de sistemas de IA
Noticias

Sam Altman, la confianza rota y la oportunidad de reiniciar la IA

Qué revela el caso Sam Altman sobre la gobernanza de la IA, la crisis de confianza y la necesidad de construir alternativas en Europa y el mundo hispanohablante.

5 min de lectura
Brazos robóticos industriales trabajando en una planta con interfaz digital de IA superpuesta
Noticias

Eclipse y su apuesta de 1.300 M$ por el “physical AI”: cuando la IA sale de la pantalla

Eclipse lanza 1.300 M$ para apostar por el “physical AI” en robótica, energía e infraestructura. Análisis del impacto para Europa y el mundo hispano.

5 min de lectura
Equipo pequeño de desarrolladores colaborando frente a pantallas con código de un modelo de IA
Noticias

Trinity de Arcee: el pequeño modelo abierto que incomoda a los gigantes de la IA (y encaja con las prioridades europeas y latinoamericanas)

El modelo Trinity de Arcee muestra cómo pesos abiertos y licencia Apache 2.0 pueden reducir el lock-in, reforzar soberanía digital y ofrecer alternativa a modelos chinos.

5 min de lectura

Mantente informado

Recibe las últimas noticias de IA y tecnología en tu correo.