La historia de la startup de cumplimiento normativo Delve sigue experimentando giros sorprendentes. Recientemente, se ha confirmado que Delve es la empresa encargada de realizar las certificaciones de seguridad para Context AI, una startup de entrenamiento de agentes de IA que la semana pasada reveló un incidente de seguridad que llevó a una brecha de datos en Vercel, una gran empresa de alojamiento de aplicaciones y sitios web.
Incidente de seguridad en Vercel
La semana pasada, Vercel anunció que su infraestructura había sido vulnerada y que un grupo de hackers accedió a datos de clientes. La compañía informó que los atacantes lograron infiltrarse en sus sistemas internos después de que un empleado descargara una aplicación desarrollada por Context AI y la vinculara a la cuenta corporativa de Vercel alojada en Google. Los hackers aprovecharon el acceso de este empleado para infiltrarse en los sistemas internos de Vercel.
La conexión de Delve y Context AI
Gergely Orosz, autor del boletín de ingeniería The Pragmatic Engineer, mencionó en un post que Delve fue la empresa que manejó la certificación de seguridad de Context AI. La compañía ha confirmado a TechCrunch que efectivamente utilizó los servicios de Delve, pero que ahora ha decidido dar por terminadas esa relación y se encuentra en proceso de obtener una nueva certificación.
Una portavoz de Context AI declaró: «Sí, Context anteriormente era cliente de Delve. Tras las informaciones sobre Delve en marzo, trasladamos nuestro programa de cumplimiento a Vanta y contratamos a Insight Assurance, una firma de auditoría independiente, para realizar nuevas evaluaciones.»
Consejos para emprendedores y negocios
-
Verificar la reputación de los proveedores: Antes de asociarte con una empresa proveedora de servicios, investiga su reputación y credibilidad en el sector. Las certificaciones no garantizan seguridad absoluta, pero sí indican que la empresa sigue determinadas prácticas.
-
Auditorías internas regulares: Realiza auditorías de seguridad internas periódicamente para identificar y mitigar riesgos potenciales en tus sistemas y procesos.
-
Capacitación de empleados: Educa a tus trabajadores sobre las mejores prácticas de seguridad y los riesgos asociados con el manejo de datos. Un error humano puede resultar en una violación de la seguridad.
- Implementar políticas estrictas de acceso a la información: Limita el acceso a información y datos sensibles solo a aquellos empleados que realmente los necesiten para llevar a cabo su trabajo.
La incertidumbre persiste
Además, Lovable, que también sufrió un incidente de seguridad, se ha desvinculado de Delve. Las acusaciones contra Delve comenzaron el mes pasado cuando un denunciante anónimo alegó que la startup estaba falsificando datos de clientes y utilizando auditores poco confiables en sus procesos de certificación. A pesar de las negaciones de Delve, la situación ha llevado a varios de sus clientes a buscar alternativas.
Mientras tanto, Lovable volvió a completar una certificación de seguridad y está en proceso de realizar otras. Sin embargo, la empresa admitió que había compartido inadvertidamente datos de chat de clientes públicamente, lo que agravó la situación tras el anuncio de la violación inicial.
Conclusiones
La situación de Delve resalta la importancia de la transparencia y la responsabilidad en el sector de cumplimiento y seguridad. Para los emprendedores, es fundamental entender que las certificaciones son solo una pieza del rompecabezas; lo esencial es mantener un enfoque proactivo hacia la protección de datos y la gestión de riesgos. La historia de Delve también pone de relieve la importancia de evaluar continuamente las asociaciones comerciales y estar preparados para actuar rápidamente en caso de que un proveedor no cumpla con sus expectativas.