El 4 de febrero, Sumsub reveló información sobre una brecha de seguridad que pasó desapercibida durante 1,5 años. El incidente involucró a un actor externo que, según se informa, envió un archivo adjunto malicioso a través de una plataforma de tickets de soporte de terceros, lo que provocó la exposición de datos personales de cuentas de clientes.
Sumsub es una plataforma que ofrece servicios de verificación KYC para individuos, empresas y transacciones, utilizando herramientas de IA para prevenir fraudes y garantizar el cumplimiento normativo a nivel global.
La plataforma también presta servicios a protocolos blockchain, incluidos Chainalysis, Merkle Science, TRM Labs, Crystal y Elliptic.
Sumsub es utilizada por la industria cripto en general para prevenir el fraude y el blanqueo de capitales, y cuenta con la confianza de diversos actores clave del ecosistema, como Bitget, Bybit, MEXC, BingX y otros.
Esto es lo que se sabe hasta ahora sobre la brecha de seguridad de la plataforma y cómo pudo haber afectado a las plataformas cripto.
Declaración oficial de Sumsub
El 4 de febrero de 2026, Sumsub publicó una declaración oficial sobre el incidente de seguridad, que, según se indica, tuvo lugar aproximadamente hace un año y medio. La actividad no autorizada se detectó retrospectivamente durante una revisión de seguridad en enero de 2026.
Principales conclusiones
Los detalles clave sobre la brecha, según el informe, se basan en la investigación de Sumsub e incluyen lo siguiente:
- En julio de 2024, un actor externo envió un archivo adjunto malicioso a través de una plataforma de tickets de soporte de terceros.
- El malware permitió un acceso no autorizado limitado a un entorno interno relacionado con soporte.
- Se expusieron datos personales limitados, incluidos nombres, direcciones de correo electrónico y números de teléfono.
- No se accedió ni se comprometió ningún dato biométrico, imágenes de documentos de identidad, cuentas bancarias, datos de pago, datos de identificación gubernamental ni otros datos de mayor riesgo.
- La actividad no autorizada se limitó únicamente al entorno interno relacionado con soporte.
- Los flujos de verificación de identidad en vivo de Sumsub, las API de clientes y los sistemas de producción principales no se vieron afectados.
- La actividad no autorizada no continuó más allá de julio de 2024.
Investigación y respuesta en curso de Sumsub
La plataforma afirma que, tras los hallazgos relacionados con el incidente de seguridad, tomó las siguientes medidas:
- Inició procedimientos de respuesta ante incidentes
- Involucró a expertos forenses, incluidos especialistas internos y externos en ciberseguridad, para apoyar el análisis, la validación y la supervisión
- Notificó directamente a los clientes afectados
Las medidas de fortalecimiento de la seguridad por parte de Sumsub incluyen lo siguiente:
- Refuerzo de la protección frente a amenazas
- Revisión de los controles de acceso del personal de soporte técnico
- Mejora de las capacidades de supervisión y detección de incidentes
- Refuerzo de la protección de endpoints, controles de prevención de pérdida de datos, capacidades de supervisión y registro, escaneo de vulnerabilidades y pruebas de penetración periódicas
- Implementación de programas de recompensas por detección de errores (bug bounty)
Sumsub destacó que se somete a auditorías y evaluaciones de seguridad periódicas, incluidas SOC 2 Tipo II, ISO/IEC 27001 y ISO/IEC 27017 / 27018.
La detección tardía del incidente genera señales de alerta
El hecho de que una plataforma que promete seguridad, verificación KYC, prevención de fraudes y cumplimiento normativo a nivel global sufriera una brecha de seguridad de datos de clientes en julio de 2024, y que el incidente no se detectara hasta enero de 2026, genera señales de alerta y erosiona la confianza.
El investigador cripto ZachXBT abordó el tema en X, respondiendo al último análisis de Sumsub sobre casos importantes de fraude y ciberdelito en enero de 2026.
El 9 de febrero, Sumsub abordó múltiples casos del mes anterior, entre ellos lavado de dinero cripto en Europa, una estafa con tarjetas de crédito en un McDonald’s de Texas, una filtración de datos de Nike, fraudes a personas mayores en Suecia, un hackeo del protocolo DeFi Truebit y otros.
Resulta algo desafortunado publicar un artículo sobre incidentes de otras empresas cuando Sumsub acaba de revelar que un actor malicioso tuvo acceso a datos sensibles durante 1,5 años sin ser detectado. pic.twitter.com/IvjCERJRBQ
— ZachXBT (@zachxbt) 9 de febrero de 2026
A pesar de los últimos hallazgos, la credibilidad de la empresa se ve afectada por la exposición tardía de su incidente de seguridad, lo que genera dudas sobre los resultados de la investigación hasta la fecha.
Sumsub respondió a ZachXBT que este es su primer incidente de este tipo en 10 años. Sin embargo, hubo otro incidente de seguridad que involucró a Merkur AG en 2025, aunque supuestamente no se encontraron filtraciones ni brechas de datos.
Impacto potencial en las empresas cripto
El incidente de Sumsub en 2024 podría haber afectado a múltiples clientes de la plataforma, incluidas las empresas cripto para las cuales la seguridad de las identificaciones de los usuarios es crucial.
Hasta ahora, no hay menciones conocidas del incidente de Sumsub en línea, excepto por Ndax, una plataforma cripto en Canadá, socia de la NHL.
La plataforma cripto mencionó el incidente de seguridad a través de X, destacando que ningún sistema de Ndax, contraseñas, códigos 2FA, documentos de identidad, datos bancarios ni detalles de pago fueron expuestos. Ndax está investigando actualmente la brecha de Sumsub junto con expertos en ciberseguridad.
Actualización de seguridad de Ndax: un proveedor de KYC externo (SumSub) informó de un incidente de seguridad. Solo podría haberse accedido a información de contacto básica (nombre, número de teléfono, correo electrónico).
No se comprometieron los sistemas de Ndax, ni contraseñas, ni códigos 2FA, ni documentos de identidad, ni datos bancarios o de pago…
— Ndax (@ndaxio) 7 de febrero de 2026
La seguridad es crucial para las plataformas cripto
Mientras tanto, se aconseja a las plataformas cripto que elijan a sus colaboradores en materia de seguridad tras un análisis exhaustivo y que evalúen criterios clave como la seguridad y la privacidad de los datos, posibles incidentes anteriores y otros factores.
Un reciente informe de Bitget y BlockSec aborda el estándar de seguridad UEX, destacando los puntos de referencia fundamentales para la próxima generación de seguridad de los intercambios en el ecosistema.
