1. Titular e introducción
Una startup que vende software de cumplimiento y que, a la vez, es acusada de ignorar una licencia de código abierto suena a chiste malo. Para Delve, empresa apadrinada por Y Combinator y financiada con más de 30 millones de dólares, es una crisis seria de reputación. Las nuevas acusaciones de que Delve habría empaquetado como propio un proyecto abierto de otro egresado de YC, Sim.ai, llegan justo cuando el cumplimiento en IA se convierte en prioridad para directivos en Europa y Latinoamérica. En este análisis veremos qué hay detrás del escándalo: la tensión entre velocidad y gobernanza, el rol del capital riesgo y las oportunidades para alternativas más serias.
2. La noticia en breve
Según relata TechCrunch, Delve –startup centrada en herramientas de cumplimiento y participante de Y Combinator– se enfrenta a nuevas acusaciones de un informante anónimo que se hace llamar “DeepDelver”. La empresa levantó en 2025 una ronda Serie A de unos 32 millones de dólares liderada por Insight Partners.
El informante sostiene que la herramienta no‑code de Delve, llamada “Pathways” y presentada a clientes potenciales como tecnología propia, sería en realidad un fork ligeramente modificado de SimStudio, la plataforma open source para construir agentes de Sim.ai. Cuando el posible cliente preguntó si Pathways se basaba en SimStudio, Delve habría respondido que la solución era de desarrollo interno.
El fundador y CEO de Sim.ai, Emir Karabeg, declaró a TechCrunch que no existe ningún acuerdo de licencia ni comercial con Delve, a pesar de que ambas compañías son alumnas de YC y de que Sim.ai era cliente de Delve. Tras las acusaciones, las referencias a Pathways y otras páginas han desaparecido del sitio web de Delve, y la empresa no responde a los medios.
Todo esto se suma a denuncias previas de métricas infladas de clientes y auditorías demasiado laxas, que Delve ha negado.
3. Por qué importa
El caso Delve es mucho más que un “salseo” de Silicon Valley. Pone el foco en tres fracturas de fondo en el ecosistema de IA y software de cumplimiento.
Primero, la lógica del “haz lo que digo, no lo que hago”. Las empresas compran soluciones de compliance para demostrar a reguladores y clientes que cumplen normas: de datos, de seguridad, de IA responsable. Si el propio proveedor de esa solución parece tomarse a la ligera una licencia Apache –que es de las más flexibles del mercado–, ¿qué garantía hay de que su producto gestione bien otros riesgos más complejos?
Segundo, está en juego el pacto social de la comunidad open source. Licencias permisivas permiten que empresas creen productos comerciales sobre código abierto, siempre que respeten atribución y condiciones. Cuando un startup bien financiado, con sello YC, supuestamente toma el proyecto de un cliente, borra créditos y lo vende como “propietario”, refuerza el miedo de muchos mantenedores: que el modelo colaborativo sea explotado sin reciprocidad. La reacción natural es endurecer licencias o no liberar tanto código, justo lo contrario de lo que necesita hoy el ecosistema de IA.
Tercero, el caso revela las zonas ciegas del capital riesgo. Si las prácticas cuestionadas existían ya antes de la Serie A, implica que ni los inversores ni los socios comerciales detectaron (o quisieron ver) riesgos básicos de propiedad intelectual y de calidad de datos. En un mercado donde las herramientas de “AI governance” se han vuelto tendencia, hay un fuerte incentivo a creer la narrativa de crecimiento y no abrir la caja negra técnica.
El daño inmediato recae en Delve y su equipo. Pero el efecto dominó puede frenar pilotos de soluciones de cumplimiento con IA, endurecer los procesos de compra y hacer que muchos CIO y CISO se replanteen su apetito de riesgo con startups jóvenes.
4. La foto grande
El escándalo de Delve encaja en un patrón más amplio: el nuevo boom de la IA está reeditando viejos vicios de la economía startup.
Ya hemos visto tensiones en torno a datos de entrenamiento y derechos de autor: artistas demandando a generadores de imágenes, presiones sobre proveedores de modelos para aclarar de dónde salen sus datasets, y debates sobre si entrenar modelos con código público en GitHub viola o no ciertas licencias. En el mundo de infraestructura, disputas como Elasticsearch vs AWS o los cambios de licencia de Redis mostraron hasta qué punto los mantenedores están cansados de que terceros moneticen su trabajo sin retorno adecuado.
Delve se sitúa justo en el cruce de esas tendencias: es una herramienta de cumplimiento apoyada en la pila de código abierto, vendida a organizaciones sometidas a regulación creciente y a auditorías. Cuando un actor así tropieza, muchos interpretan que el mercado de “compliance automatizado” está, en el mejor de los casos, verde; en el peor, lleno de teatro: paneles muy bonitos para impresionar al consejo, con cimientos jurídicos débiles.
También hay una lectura de marca. Y Combinator sigue siendo, para muchos en España y América Latina, un sello casi mágico: “si es YC, será bueno”. Un caso donde un egresado de YC presuntamente reutiliza código abierto de otro alumni, que además es su cliente, sin atribución adecuada, erosiona esa aura. Y el hecho de que Insight Partners haya ocultado temporalmente su post celebrando la inversión en Delve indica que el riesgo reputacional se toma muy en serio.
Todo esto apunta a una transición: del “creed en nosotros, somos de YC” a un entorno donde compradores e inversores piden pruebas concretas de gobernanza, especialmente en categorías sensibles como IA y cumplimiento.
5. El ángulo europeo e hispanohablante
Para Europa, este caso llega en pleno rediseño normativo: Reglamento de IA de la UE, DSA, DMA, NIS2… todo empuja a más trazabilidad, documentación y controles internos. El hambre de herramientas que ayuden a cumplir no va a disminuir; al contrario. Muchas de esas soluciones, sin embargo, provienen de startups estadounidenses que venden a empresas europeas y latinoamericanas.
Si la historia de Delve se convierte en símbolo de “compliance de PowerPoint”, veremos a más comités de compra en Madrid, Ciudad de México o Bogotá priorizar proveedores con anclaje local o europeo, mejor alineados con la cultura regulatoria de la región. También reforzará el discurso de que, en IA crítica (salud, banca, sector público), quizá es preferible trabajar con empresas que nacen bajo el paraguas del RGPD y las normas europeas, aunque crezcan más lento.
La comunidad open source en el mundo hispanohablante –desde proyectos en España hasta ecosistemas en México, Argentina o Colombia– también tomará nota. Muchos desarrolladores ya son escépticos ante grandes plataformas que extraen valor sin contribuir. Ver a un caso tan visible dentro del círculo YC alimenta esa desconfianza y puede acelerar movimientos hacia licencias menos permisivas o exigencias de acuerdos comerciales claros.
A la vez, se abre una ventana para startups de regtech y IA responsable en Barcelona, Valencia, Buenos Aires o Santiago que integren desde el inicio buen gobierno de código abierto, auditorías externas y transparencia de modelo de negocio.
6. Mirando hacia adelante
¿Qué podemos esperar a partir de ahora? Delve difícilmente saldrá indemne. Aunque no llegue a haber demandas ni sanciones, la marca ha quedado tocada en un segmento donde la confianza es el producto.
En los próximos 12–18 meses conviene observar:
- Reacción de clientes y socios. Muchas empresas optarán por no renovar contratos, reducir el uso o exigir cláusulas muy estrictas sobre garantía de IP, auditorías de terceros y derecho a revisar el código o la arquitectura.
- Cambio en la due diligence de los VCs. Fondos estadounidenses y europeos tenderán a revisar con más lupa los componentes open source, la estructura de licencias y la independencia de los auditores en startups de compliance y seguridad. Las rondas podrían tardar más y exigir más documentación técnica y legal.
- Subida del listón en AI‑compliance. Los players serios aprovecharán para diferenciarse: publicarán listas detalladas de componentes (SBOM), contratos con mantenedores de proyectos críticos y quizás incluso certificaciones de laboratorios o consultoras independientes.
Quedan preguntas abiertas: ¿hasta qué punto el liderazgo de Delve conocía el origen exacto de Pathways? ¿Utilizaron sus clientes esa funcionalidad para informes regulatorios o certificaciones? ¿Optará Sim.ai por una estrategia legal, por la presión pública o por ambas?
El riesgo más grande es que este caso se use como munición para un mensaje sencillo pero peligroso: “las startups pequeñas no son de fiar para temas de cumplimiento en IA, mejor contratar a gigantes y Big Four”. Si eso ocurre, muchos emprendedores serios en España y América Latina pagarán el precio de pecados ajenos.
7. Conclusión
El episodio Delve no es solo la historia de una posible violación de licencia, sino un espejo incómodo para todo el sector de herramientas de cumplimiento con IA. Si quienes venden “confianza automatizada” no son impecables en algo tan básico como el respeto a la licencia de un cliente, las empresas volverán a lo conocido: Excel, consultoras y procesos manuales. Para los fundadores, el mensaje es claro: la gobernanza no se añade en la diapositiva 27 del pitch, es la base del producto. La cuestión es si el ecosistema aprenderá de este aviso o esperará al próximo escándalo para tomárselo en serio.
