Suplantación de tipo Phishing a SumUp
Todas las personas físicas y jurídicas que hayan accedido a la página web fraudulenta descrita en este aviso y hayan introducido sus credenciales.
Desde INCIBE se ha identificado una campaña que suplanta a la plataforma de servicios financieros, SumUp. El fraude consiste en el envío de notificaciones mediante correo electrónico con el propósito de engañar a los usuarios para que introduzcan sus credenciales.
Si has recibido un correo electrónico que supuestamente es de SumUp, pero no has abierto el enlace fraudulento, has actuado bien. Te agradeceríamos que lo reenviases a nuestro buzón de incidentes. De este modo, podremos recopilar la información necesaria para evitar que otros usuarios sean víctimas de este tipo de fraudes. Una vez reenviado, elimina el mensaje de la bandeja de entrada para evitar acceder a él posteriormente y, además, bloquear al emisor.
Si has accedido al enlace y has proporcionado tus datos personales, te sugerimos que sigas las recomendaciones que te indicamos a continuación. Si necesitas un asesoramiento más personalizado, siempre puedes ponerte en contacto con la Línea de Ayuda en Ciberseguridad.
- Si has facilitado tus credenciales de acceso, cámbialas tanto en SumUp, como en todas aquellas cuentas en las que emplees las mismas. Ten presente que lo más seguro es utilizar una contraseña para cada sitio y, si es posible, activar la autenticación en dos pasos.
- Ten en cuenta que en los correos electrónicos pertenecientes a SumUp, el dominio es “@sumup.com”. Sospecha de cualquier otro remitente que no coincida con ese formato.
- Revisa los últimos movimientos en tu cuenta bancaria. Si detectas alguno sospechoso, repórtalo a tu entidad bancaria.
- Reúne y guarda todas las pruebas disponibles sobre el fraude, tales como enlaces maliciosos o capturas de pantalla. Puedes hacer uso de los servicios de testigos online para corroborar la recopilación de las pruebas enviadas.
Asimismo, puedes interponer una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado, aportando todas las pruebas recopiladas a lo largo del proceso. - Practica egosurfing de forma regular durante varios meses para determinar si tu información personal o corporativa ha sido expuesta o utilizada de forma inapropiada.
Se ha detectado una campaña de phishing que pretende suplantar a SumUp. El fraude consiste en el envío de correos electrónicos en los que se indica la necesidad de verificar su cuenta, proporcionándole un enlace al que acceder para realizar dicha operación. Una vez accedido al enlace fraudulento, se redirige a una página falsa con el objetivo de robar los datos de acceso a la plataforma de SumUp.
Aparentemente, el texto del correo electrónico está bien redactado y maquetado, pero si nos fijamos en el remitente veremos que este no corresponde al dominio oficial de SumUp.
El asunto con el que se identifican estos correos es: “la verificación de su cuenta de SumUp” o “Importante: Por favor, verifique su cuenta antes del 18. abril 2026.”, aunque no se descarta que existan otros correos con asuntos similares. Si observas que hay una fecha límite en el asunto del correo no te pongas nervioso, es una técnica utilizada por los cibercriminales para meter presión a la víctima y que no centre su atención en el correo fraudulento, remitente, etc.
Si accedes al enlace malicioso que viene en el correo fraudulento, se te redirigirá a una página de login similar a la SumUp en la que te solicitarán tus credenciales. Puede ser que la URL varíe, pero las páginas siguen la plantilla: Logo de SumUp, casillas para introducir correo electrónico y contraseña y un botón de siguiente.
Posteriormente te redirigen a una página web, similar a la expuesta a continuación, en la que te piden que esperes mientras el proceso termina. La realidad es que el proceso nunca llega a finalizar y te tendrán esperando de manera indefinida si permaneces en dicha página.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
