Delve fue pillada falsificando su cumplimiento normativo. Nosotros elegimos el camino largo a propósito.
El escándalo de Delve deja al descubierto lo que ocurre cuando el cumplimiento normativo se convierte en un producto que lanzar rápido en lugar de una promesa que mantener. En anyformat, elegimos el camino contrario, y nos está llevando meses. A propósito.
Si trabajas en tecnología y has estado conectado esta semana, probablemente hayas visto cómo se desarrollaba la historia de Delve en tiempo real.
Un informante conocido como "DeepDelver" publicó una investigación detallada en la que alegaba que Delve, una startup de automatización del cumplimiento normativo respaldada por YC y valorada en 300 millones de dólares, había estado engañando sistemáticamente a cientos de clientes haciéndoles creer que cumplían con SOC 2, HIPAA, ISO 27001 y GDPR. Las acusaciones son graves: pruebas fabricadas de controles de seguridad que nunca se implementaron, conclusiones de auditores generadas antes de que tuviera lugar ninguna revisión independiente, y páginas de confianza que enumeraban medidas que sencillamente no existían.
TechCrunch se hizo eco. Inc. lo cubrió. Insight Partners, la firma que lideró la Serie A de 32 millones de dólares de Delve, eliminó discretamente su artículo de tesis de inversión de la web. Empresas como Lovable ya se han distanciado públicamente.
Delve niega las acusaciones. Dicen que son una plataforma de automatización, no una firma de auditoría, y que las plantillas son una práctica estándar del sector.
Pero el daño ya es estructural. Independientemente de cómo se resuelva la historia de Delve, ha abierto una pregunta que todo comprador empresarial debería hacerse: Cuando tu proveedor te muestra una insignia de cumplimiento, ¿qué significa realmente?
El verdadero problema es más grande que una sola startup
La situación de Delve es dramática, pero el patrón que expone no es nuevo. Tiene nombre: compliance theater (teatro del cumplimiento).
El compliance theater es lo que ocurre cuando el proceso de obtener una certificación se vuelve más importante que la postura de seguridad que la certificación debería representar. Cuando la insignia se convierte en el producto en lugar de ser un subproducto de hacer las cosas bien.
El mercado de automatización del cumplimiento normativo ha crecido rápidamente porque el problema que aborda es real. Obtener la certificación SOC 2 o ISO 27001 de la forma tradicional es lento, manual y caro. Las startups que prometen comprimir ese plazo de meses a días resultan naturalmente atractivas. Pero velocidad y rigor están en tensión. Y cuando una plataforma optimiza exclusivamente para la velocidad, algo tiene que ceder.
Lo que cede, normalmente, es la sustancia que hay debajo del sello.
Pruebas precumplimentadas que documentan procesos que nadie implementó realmente. Firmas de auditoría que aprueban informes sin pruebas independientes significativas. Páginas de confianza que presentan medidas de seguridad como hechos cuando, en el mejor de los casos, son aspiracionales.
El resultado: empresas que se pasean con una insignia que dice "certificado" mientras los controles subyacentes están vacíos. Sus clientes, socios y reguladores confían en esa insignia. Hasta que algo se rompe.
Por qué esto importa si trabajas con inteligencia documental
Si procesas documentos empresariales sensibles, la postura de cumplimiento de tus herramientas no es una casilla que marcar. Es un muro de carga.
Cada documento que pasa por una plataforma como anyformat lleva consigo una confianza implícita. Un cliente que nos envía sus registros empresariales más sensibles no solo está compartiendo datos. Está compartiendo la columna vertebral operativa y legal de su negocio.
Si nuestras certificaciones de cumplimiento fueran huecas, esa confianza sería una mentira. Y a diferencia de un error de producto que puedes parchear, la confianza rota en sectores regulados se acumula: responsabilidad contractual, sanciones regulatorias (hasta el 4 % de la facturación global según GDPR), responsabilidad penal bajo HIPAA, y daño reputacional que ninguna respuesta de comunicación puede reparar.
Por eso nos negamos a tratar el cumplimiento normativo como algo que "hay que superar".
Cómo elegimos hacerlo en anyformat
Actualmente estamos en las fases finales de la certificación ISO 27001. La Fase 2 de la auditoría está completa. Estamos cerca de la meta.
Pero aquí viene lo importante: llevamos meses con esto. No porque hayamos suspendido nada. No porque nos hayamos atascado. Porque elegimos hacerlo a un ritmo que garantice que cada control, cada política, cada procedimiento refleje lo que realmente hacemos, no lo que queda bien en un papel.
Fue una decisión deliberada y, sinceramente, no siempre cómoda. Cuando los competidores pueden agitar una certificación delante de los clientes potenciales mientras tú sigues inmerso en el proceso, la tentación de tomar atajos es real. Ya hemos visto cómo es el "cumplimiento rápido". Preferimos llegar tarde y ser legítimos que llegar pronto y estar vacíos.
Así es como se traduce en la práctica:
Construimos nuestro SGSI antes de construir la narrativa de auditoría. Nuestro Sistema de Gestión de Seguridad de la Información no se montó para satisfacer la lista de comprobación de un auditor. Fue diseñado para proteger los datos que nuestros clientes nos confían. Las políticas nacieron de nuestra realidad operativa real, no de plantillas adoptadas al por mayor.
Gestionamos una arquitectura privacy-first, no una presentación privacy-first. anyformat está desplegado en AWS con controles de residencia de datos, cifrado en reposo y en tránsito, controles de acceso estrictos y registro de auditoría en toda la cadena de procesamiento documental. Estas no son funcionalidades que añadimos para la certificación. Son los cimientos sobre los que construimos el producto. Tener raíces en la UE no es un argumento de marketing para nosotros. Es una obligación regulatoria y una ventaja competitiva que nos tomamos en serio.
Elegimos auditores por su rigor, no por su rapidez. No optimizamos para obtener el certificado lo antes posible. Seleccionamos un proceso de auditoría que pusiera a prueba nuestros controles, cuestionara nuestras suposiciones y sacara a la luz deficiencias reales. Porque descubrir una deficiencia durante una auditoría es un regalo. Descubrirla después de una brecha de seguridad es un desastre.
Nuestra puntuación de confianza forma parte de nuestra historia de cumplimiento. Cuando anyformat extrae datos de un documento, cada resultado viene con una puntuación de confianza: campo por campo, token por token. Esto no es solo una funcionalidad del producto. Es un compromiso arquitectónico con la transparencia y la auditabilidad. Si vamos a pedir a las empresas que confíen en nuestros resultados, les debemos la capacidad de verificar esa confianza al nivel más granular.
Qué preguntar a tus proveedores (incluidos nosotros)
El escándalo de Delve acabará desapareciendo del ciclo de noticias. Pero las preguntas que plantea deberían convertirse en elementos permanentes de toda revisión de aprovisionamiento y seguridad:
"¿Puedo ver el alcance de vuestra certificación?" Un certificado SOC 2 o ISO 27001 solo tiene sentido dentro de su alcance definido. Si el alcance es reducido o excluye los sistemas que realmente procesan tus datos, la insignia es decorativa.
"¿Quién realizó la auditoría y cuál es su acreditación?" No todas las firmas de auditoría son iguales. La independencia, la acreditación y el estado de revisión por pares importan. Pregunta. Verifica.
"¿Podéis guiarme por los controles, no solo por el informe?" Cualquier proveedor debería poder explicar, en lenguaje llano, qué hace realmente para proteger tus datos. No lo que dice una plantilla. Lo que hace.
"¿Cómo gestionáis la recopilación de evidencias: automatizada, manual o precumplimentada?" La automatización es genial cuando recoge evidencias reales de sistemas reales. Es un problema cuando genera la apariencia de evidencias para procesos que no existen.
"¿Qué ocurre cuando algo falla?" Respuesta ante incidentes, plazos de notificación de brechas, procedimientos de recuperación. La respuesta a esta pregunta dice más sobre la madurez de seguridad de una empresa que cualquier página de confianza.
Hacednos estas preguntas. En serio. Preferimos tener una conversación difícil durante el proceso de compra que una imposible después de un incidente.
Las certificaciones no son sellos. Son promesas.
Hay una versión de este artículo que sería más fácil de escribir. Una en la que simplemente decimos "nosotros no somos como Delve" y seguimos adelante.
Pero eso no captaría la esencia del problema.
La historia de Delve es un síntoma de un problema que afecta a todo el sector: el cumplimiento normativo se ha productizado hasta el punto de que la certificación en sí se ha desvinculado de la seguridad que se supone que representa. Cuando puedes obtener un informe SOC 2 en días, impulsado por evidencias precumplimentadas y refrendado por auditores que nunca prueban tus controles de forma independiente, todo el marco de confianza se derrumba.
En anyformat, procesamos algunos de los documentos más sensibles de nuestros clientes. Documentos que impulsan decisiones, activan pagos y tienen peso regulatorio. No podemos permitirnos tratar el cumplimiento normativo como un truco de crecimiento. Para nosotros, es la infraestructura de la que depende todo lo demás.
Nuestra certificación ISO 27001 nos está llevando meses porque estamos construyendo algo que resista el escrutinio. No solo el escrutinio del auditor. El escrutinio de nuestros clientes. Y el nuestro propio.
Porque una certificación que no refleja la realidad no es una certificación. Es una responsabilidad.
Compara el cumplimiento de anyformat: vs Reducto · vs Extend AI · vs Nanonets · Todas las comparaciones →
anyformat es la plataforma de inteligencia documental que convierte documentos no estructurados en datos fiables y estructurados, con seguridad de nivel empresarial, puntuación de confianza y auditabilidad completa. Cumplimos con GDPR y estamos en las fases finales de la certificación ISO 27001. Más información en anyformat.ai