Nueva estafa en Shopify: falsas compras de Apple y PayPal aparecen en tu historial de pedidos

bys0rK -
Estafa con facturas falsas en la aplicación Shop de Shopify
Los atacantes aprovechan una plataforma legítima para mostrar pedidos falsos y aumentar la credibilidad del fraude.

Los ciberdelincuentes llevan las facturas falsas directamente a la aplicación Shop

Una nueva campaña detectada por investigadores de seguridad utiliza el ecosistema de Shopify para mostrar pedidos fraudulentos dentro de la aplicación Shop y convencer a las víctimas de llamar a falsos servicios de atención al cliente.

📌 En resumen

  • Los atacantes muestran compras falsas dentro de la aplicación Shop.
  • Suplantan a Apple, PayPal, Norton y McAfee para ganar credibilidad.
  • El objetivo es que la víctima llame a un número controlado por los estafadores.
  • También pueden solicitar acceso remoto al dispositivo o datos bancarios.

Investigadores de seguridad han descubierto una campaña que utiliza la aplicación Shop, vinculada al ecosistema de Shopify, para mostrar pedidos falsos en el historial de compras de los usuarios. La estafa suplanta a empresas como Apple, PayPal, Norton y McAfee con el objetivo de provocar una llamada telefónica a un supuesto servicio de atención al cliente controlado por ciberdelincuentes.

El método representa una evolución respecto al phishing tradicional. En lugar de enviar un correo electrónico fraudulento, los atacantes consiguen que el supuesto pedido aparezca dentro de una aplicación legítima que muchos usuarios utilizan para seguir sus compras.

Así funciona la nueva estafa

La investigación, realizada por los expertos Luis Corrons y Jakub Vavra, de Gen Digital, ha identificado varias campañas en las que se insertan pedidos falsos dentro de Shop.

Los recibos muestran supuestas compras de elevado importe relacionadas con productos y servicios de marcas ampliamente conocidas, entre ellas:

  • Suscripciones de Norton.
  • Productos de McAfee.
  • Dispositivos de Apple.
  • Servicios asociados a PayPal.
  • Tarjetas regalo.

El objetivo es generar preocupación inmediata y convencer a la víctima de que alguien ha realizado un cargo importante utilizando su cuenta.

Cómo llegan los pedidos falsos a la aplicación Shop

Shop reúne en una única aplicación los pedidos procedentes de distintas plataformas de comercio electrónico.

Además de las compras realizadas mediante Shop Pay, la aplicación puede detectar automáticamente confirmaciones de pedidos presentes en cuentas de Gmail u Outlook vinculadas al usuario.

Los investigadores creen que los atacantes están aprovechando esta funcionalidad o determinados procesos relacionados con los comercios para introducir pedidos fraudulentos que terminan apareciendo junto al resto de compras legítimas.

En numerosos casos, los pedidos aparecen asociados a tiendas con nombres genéricos como "My Store", un detalle que puede servir como primera señal de alerta.

El verdadero fraude comienza con una llamada telefónica

La parte más importante de la estafa no es el supuesto cargo, sino el número de teléfono que aparece dentro del pedido.

Los delincuentes ocultan esos teléfonos en lugares poco habituales, como:

  • La descripción del producto.
  • La dirección de envío.
  • Las notas del pedido.

Cuando la víctima llama, un falso agente asegura representar a Apple, PayPal, Norton, McAfee u otra empresa conocida e intenta convencerla de facilitar información sensible.

Entre los datos que suelen solicitar figuran:

  • Datos bancarios.
  • Números de tarjeta.
  • Credenciales de acceso.
  • Códigos de verificación recibidos por SMS.

En algunos casos también piden instalar programas de acceso remoto con la excusa de cancelar el supuesto pedido o tramitar un reembolso. Si la víctima acepta, los atacantes pueden controlar el dispositivo y acceder a información mucho más sensible.

Cómo identificar una factura fraudulenta

Los investigadores destacan varios indicios que pueden ayudar a detectar este tipo de fraude antes de caer en la trampa.

  • Compras que el usuario no recuerda haber realizado.
  • Importes especialmente elevados para generar urgencia.
  • Pedidos asociados a tiendas con nombres genéricos.
  • Números de teléfono incluidos en la descripción del producto o en otros campos poco habituales.

Las facturas legítimas rara vez incluyen teléfonos de atención al cliente en esos apartados.

Qué hacer si aparece un pedido sospechoso

Si un usuario detecta una compra desconocida en Shop, los especialistas recomiendan no utilizar el número de teléfono mostrado en el pedido.

Lo más recomendable es:

  • Comprobar el movimiento directamente desde la aplicación del banco o de la tarjeta.
  • Verificar la compra desde la cuenta oficial de la empresa que supuestamente realizó el cargo.
  • Acceder únicamente mediante la aplicación o la página web oficial, nunca utilizando teléfonos o enlaces incluidos en el pedido.
  • Denunciar el pedido sospechoso desde la propia aplicación Shop.
  • Informar del incidente a Shopify utilizando los canales oficiales de reporte.

El fraude evoluciona hacia plataformas de confianza

Esta campaña demuestra cómo los ciberdelincuentes están desplazando parte de sus ataques desde el correo electrónico hacia plataformas legítimas que generan una mayor sensación de confianza.

Aunque el aviso aparezca dentro de una aplicación oficial, la recomendación sigue siendo la misma: verificar cualquier cargo directamente con la entidad correspondiente y desconfiar de cualquier comunicación que genere urgencia, solicite información personal o invite a llamar a un número de teléfono no verificado.

Tags:

Te puede interesar

Ver todo

Sé respetuoso con los demás usuarios y no utilices lenguaje ofensivo o discriminatorio.

Artículo Anterior Artículo Siguiente
Compartir en otras aplicaciones
Copiar Enlace de la entrada