Recibos falsos en la app Shop de Shopify: la nueva estafa que llega por teléfono

Marcas suplantadas y la ingeniería social

Los recibos falsos que se han reportado suplantan a Norton, McAfee, Apple (iPhones y tarjetas regalo de Apple) e incluso incluyen cargos con apariencia de PayPal . La elección de la marca no es casualidad: un recibo falso de una suscripción de seguridad de más de 300 € o de un producto Apple caro genera urgencia y pánico. El usuario, alarmado, llama al número que aparece en el recibo para 'disputar el cargo' .

El gancho: la llamada

El elemento clave es un número de teléfono que aparece en los detalles del pedido, en el campo de dirección de envío o en la descripción del producto. A menudo, el recibo incluye un mensaje que insta a llamar al 'soporte' si el cargo no fue autorizado .

Cuando la víctima llama, el estafador contesta haciéndose pasar por un agente de soporte e intenta:

• Robar números de tarjeta de crédito e información personal con la excusa de procesar un reembolso.
• Obtener credenciales de inicio de sesión.
• Engañar a la víctima para que instale un programa de acceso remoto que le da al atacante el control total del dispositivo .

En la mayoría de los casos reportados, nunca aparece un cargo real en la cuenta bancaria del usuario; la única amenaza es la llamada .

La respuesta de Shopify

Shopify confirmó a BleepingComputer que ya identificó a los responsables y que ha implementado nuevos controles que 'han reducido significativamente esta actividad y han mejorado nuestra capacidad para detectarla en el futuro' . Aunque no se detallaron las medidas técnicas específicas, la compañía recuerda a los usuarios que consulten su guía oficial de seguridad para identificar intentos de phishing, vishing y smishing. Entre sus consejos: verificar que los correos provengan de dominios oficiales como @shopify.com y no llamar nunca a números sospechosos .

Canales oficiales para reportar

Shopify anima a reenviar los correos sospechosos a phishing@shopify.com. Gen Digital, la empresa propietaria de Norton (una de las marcas suplantadas), también recomienda reportar los correos sospechosos relacionados con Norton a spam@norton.com .

¿Qué hacer si ves un recibo sospechoso en tu app Shop?

Si encuentras un pedido o recibo inesperado en tu app Shop, no te pongas en contacto con la información que aparece en el pedido. Sigue estos pasos:

1. No llames al número de teléfono que aparece en el recibo. Las empresas legítimas no incluyen números de soporte en los recibos digitales para que disputes cargos .

2. Verifica los cargos directamente con tu banco o emisor de la tarjeta. Accede a tus cuentas financieras a través de su app o web oficial (no a través de enlaces en la notificación) para confirmar si existe algún cargo real .

3. No hagas clic en ningún enlace ni descargues archivos del pedido sospechoso .

4. Desconecta temporalmente la sincronización de correo electrónico de la app Shop yendo a Ajustes > Integración de correo electrónico. Esto evitará que se sigan añadiendo pedidos falsos automáticamente .

5. Reporta la estafa. Reenvía la notificación o el correo a phishing@shopify.com. Si el recibo suplanta a Norton, envíalo también a spam@norton.com .

6. Si ya llamaste al número, contacta a tu banco de inmediato para congelar tus cuentas, ejecuta un análisis de malware en tu dispositivo, cambia tu contraseña de Shopify y activa la autenticación en dos pasos .

7. Marca el pedido como sospechoso en la app Shop (si está disponible). Esto ayuda a la plataforma a identificar y bloquear pedidos fraudulentos similares .

Conclusión

Esta campaña de 'callback phishing' contra la app Shop de Shopify representa una evolución notable en las técnicas de phishing. Los atacantes han dejado atrás el correo electrónico para colocar recibos falsos directamente dentro de una aplicación de confianza donde los usuarios gestionan sus compras reales. La estafa explota la confianza en la plataforma, no una vulnerabilidad técnica en la infraestructura de Shopify.

La defensa más eficaz es sencilla: nunca llames a un número de teléfono que aparezca en un recibo, verifica cualquier cargo sospechoso a través de los canales oficiales y reporta la actividad a las plataformas afectadas.