Compartir
VEREDICTO ESTAFA APP SHOP

Estafa de pedido falso en la app Shop 2026: la oleada de phishing por llamada dentro de la app de seguimiento de Shopify

Los estafadores están colocando recibos de pedidos falsos dentro de la app Shop de Shopify, cada uno con un número de "soporte" que conecta con un impostor de Norton, McAfee, Apple o PayPal. El cebo llega a una app en la que ya confías, así que se salta por completo el filtro de spam de tu correo. Aquí está la respuesta honesta primero.

SafeBrowz Threat Research Investigación de seguridad29 de junio de 202610 min de lectura

¿El aviso de pedido con un número de soporte en la app Shop es real?

Veredicto: trata cualquier pedido o factura en la app Shop que incluya un número de teléfono para "reclamar" o "cancelar" un cargo como una estafa de phishing por llamada. El Shopify real y las marcas que muestra (Norton, McAfee, Apple, PayPal) no colocan una línea de soporte dentro de un recibo plantado ni te presionan para que llames y detengas un cargo. La firma de seguridad Gen Digital documentó a atacantes insertando pedidos falsos junto a los genuinos en la app; al llamar al número conectas con un falso "agente" que te convence de entregar tu contraseña, número de tarjeta o un código de un solo uso. Nunca llames a un número de una notificación de pedido. Verifica cualquier cargo iniciando sesión en tu banco y en el propio sitio de la marca, como shopify.com o paypal.com, directamente.

El titular

Shop, el asistente de seguimiento de pedidos de Shopify con 50 millones de descargas en Google Play y 7 millones de valoraciones en la App Store de Apple, está siendo abusado para entregar phishing por "llamada de vuelta", también llamado TOAD (telephone-oriented attack delivery, ataque entregado por teléfono). Según la empresa de ciberseguridad Gen Digital, los actores de amenazas insertan recibos de compra falsos en el historial de pedidos del usuario en Shop, junto a sus pedidos reales, cada recibo con un número de teléfono al que llamar si la compra parece incorrecta. Al llamar, un estafador que se hace pasar por el soporte de Norton, McAfee, Apple o PayPal te manipula para que entregues credenciales, datos de tarjeta o contraseñas de un solo uso, y en algunos casos para que instales software de acceso remoto. Gen Digital no encontró evidencia de que Shop, Shopify o ninguna empresa suplantada hubiera sufrido una brecha.

Qué está pasando realmente, en términos claros

La app Shop es un asistente de compras de Shopify. Reúne tus pedidos de muchos comercios distintos en un solo lugar para que puedas seguir envíos, ver recibos y descubrir tiendas que funcionan con Shopify. Como muchísimas tiendas online pequeñas usan Shopify, la app se ha convertido en una bandeja de entrada central de "dónde está mi pedido" en Norteamérica, con decenas de millones de instalaciones.

Esa bandeja de entrada central es ahora el canal de entrega de una estafa. Según informó BleepingComputer y documentó Gen Digital, los atacantes consiguen que recibos falsos aparezcan en el historial de pedidos de los usuarios en Shop, justo al lado de compras legítimas. El recibo falso se disfraza de cargo de una marca que reconocerías, a menudo una "renovación" de antivirus de Norton o McAfee, una compra de Apple o una factura de PayPal. Lo crucial es que el recibo falso incluye un número de teléfono, presentado como la línea a la que llamar si quieres reclamar o cancelar el cargo.

No hay ningún enlace para pulsar ni adjunto malicioso. Todo el objetivo es conseguir que llames. Eso es lo que hace de esto una estafa por llamada, o TOAD: el correo o la notificación es solo el cebo, y el ataque real ocurre en una llamada de voz donde una persona puede presionar, meter prisa y tranquilizarte en tiempo real.

Por qué esto es más peligroso que la misma estafa por correo

Las facturas de renovación falsas son viejas. La versión clásica llega a tu correo como un mensaje de "tu suscripción de Norton se renovó automáticamente por 399,99 dólares, llama para cancelar". La mayoría de la gente ha aprendido a desconfiar de esos, y los filtros de spam modernos atrapan una buena parte antes de que los veas.

Esta oleada rompe ese patrón de un solo golpe: el cebo no está en tu correo. Está dentro de una app que abriste a propósito para revisar un pedido real. Cuando un cargo aparece en Shop, tu cerebro lo archiva en "mis pedidos", no en "mensaje aleatorio de un desconocido". Gen Digital señaló exactamente esto, que los recibos falsos en Shop son más eficaces que el fraude por correo porque los usuarios confían intrínsecamente en la app, lo que los hace mucho más propensos a responder. El contenedor es el disfraz.

También esquiva las defensas técnicas en las que la gente confía. Una pasarela de seguridad de correo nunca ve esto, porque el mensaje nunca fue un correo en tu bandeja. La notificación parece una alerta normal de Shop. Y la carga útil, un número de teléfono, no es algo que una lista de bloqueo de URL o un escáner de adjuntos esté construido para marcar. Para cuando estás leyendo el importe de una factura real y alcanzando el teléfono, todos los filtros automáticos ya han sido sorteados.

Cómo se desarrolla realmente la llamada

El recibo hace el primer trabajo: te asusta. Una renovación por unos cientos de dólares que nunca autorizaste es lo bastante alarmante como para que mucha gente pase por alto los errores gramaticales que suelen aparecer en estas facturas falsas. Llamas al número para "detener el cargo". A partir de ahí, la ingeniería social es de manual.

La tranquilización. El "agente" confirma que ve el cargo y promete un reembolso o cancelación. Suena calmado y servicial. Su único objetivo en el primer minuto es mantenerte en la línea y bajar tu guardia.

La trampa de la verificación. Para "procesar el reembolso" necesitan "verificar tu cuenta". Aquí es donde piden tu acceso, tu número de tarjeta o un código de un solo uso que tu banco o la marca acaban de enviarte por SMS. Ese código es la llave maestra: léelo en voz alta y pueden iniciar sesión o aprobar un pago como si fueras tú.

El empuje al acceso remoto. En algunos casos el agente dice que debe "emitir el reembolso a través de tu ordenador" y te guía para instalar software de soporte remoto para "ayudarte". Una vez esa herramienta está en tu máquina, la controlan: pueden abrir tu sesión bancaria, mover dinero o dejar algo que persiste después de que termine la llamada.

El falso reembolso excesivo. Un cierre habitual es afirmar que "reembolsaron de más por accidente" y pedirte que devuelvas la diferencia con tarjeta regalo, transferencia o cripto. El cargo original nunca fue real, así que cualquier dinero que envíes es pérdida pura.

En ningún momento una empresa real necesita que leas en voz alta un código de un solo uso, que instales software remoto para recibir un reembolso, o que devuelvas un pago excesivo. Esas tres peticiones, por sí solas, identifican la llamada como una estafa.

🛡 VERIFICACIÓN EN VIVO

Comprueba un enlace sospechoso ahora mismo

Si la llamada o el recibo te empujaron después a una página de "reembolso" o "inicio de sesión", pega el enlace abajo antes de tocarlo. Nuestro motor de 3 capas (Local + APIs + IA) devuelve un veredicto en ~3 segundos. Gratis, sin registro.

Análisis completo con IA profunda → · Ninguna URL se vincula a tu identidad.

Qué marcas suplantan los recibos falsos

Hasta ahora los recibos documentados se concentran en torno a cuatro nombres, y la elección no es aleatoria. Las renovaciones de Norton y McAfee funcionan porque la renovación automática de antivirus de verdad ocurre y la gente no está segura del importe exacto, así que una "renovación" de 399,99 dólares parece plausible. Apple funciona porque casi todo el mundo tiene un Apple ID y una tarjeta guardada. PayPal funciona porque una "factura" de PayPal implica que alguien intenta cobrarte, lo que dispara un impulso instantáneo de reclamar.

Estas son empresas reales y de confianza. Sus sitios verdaderos, norton.com, mcafee.com, apple.com y paypal.com, son legítimos. El fraude no es la marca; es un desconocido tomando prestado el nombre de la marca dentro de un recibo que la marca nunca envió. La solución es la misma para los cuatro: nunca uses un número de teléfono o enlace que llegó con el cargo. Abre la app de la marca o escribe su dirección tú mismo y comprueba tu cuenta allí. Si no existe tal cargo en tu cuenta real, el recibo era falso.

Qué marcas copiarán después los atacantes (nuestra predicción)

Las estafas por llamada siguen el dinero y la confianza. Cuando un contenedor cebo funciona, los atacantes no lo retiran; rotan la marca del recibo hacia lo que maximice el pánico en la audiencia más amplia. Según cómo han evolucionado estas campañas en el correo y ahora dentro de las apps, aquí está dónde esperamos que se extiendan después los recibos falsos de Shop.

  • Pedidos de grandes tiendas y marketplaces. "Confirmaciones de pedido" de Amazon, Best Buy y Walmart por un artículo caro que no compraste, porque un recibo de un portátil de 1.799 dólares es puro combustible de alarma. Ya rastreamos este patrón fuera de la app en la estafa de confirmación de pedido de Amazon.
  • Renovaciones de streaming y suscripciones. Recibos de "tu plan se ha renovado" de Netflix, Disney+, Paramount+ y similares, que se leen como rutinarios y fáciles de "cancelar". Mira la estafa por correo de suscripción de Paramount+ para ver la plantilla.
  • "Tasas" de entrega y mensajería. Un cargo falso de FedEx, UPS o USPS dentro de la app encaja de forma natural, ya que Shop es literalmente donde la gente sigue sus entregas. Compara el SMS de estafa de entrega de FedEx y el SMS de falsa entrega de USPS.
  • Facturas de soporte técnico estilo "Geek Squad". La factura de renovación de Geek Squad es uno de los cebos por llamada más prolíficos de todos; una versión en Shop es un siguiente paso obvio. Mira la estafa por correo de factura de Geek Squad.
  • "Compras" de cripto y monederos. Un recibo falso de una compra de cripto está diseñado para que una persona ajena al mundo cripto entre en pánico y llame, y luego sea dirigida hacia un "arreglo" que vacía el monedero.

La marca del recibo seguirá cambiando. La forma nunca cambia: un cargo que no reconoces, más un número al que llamar. Esa forma es a lo que hay que reaccionar, no al logo.

Qué ve SafeBrowz en la red

Esta estafa está construida para evitar las cosas que la mayoría de las herramientas vigilan, así que vale la pena ser preciso sobre dónde ocurre realmente la defensa. El recibo en sí está dentro de una app cerrada, y el primer movimiento es una llamada de teléfono, no un clic. Ninguno de esos es algo que una extensión de navegador pueda interceptar. No fingiremos lo contrario. Lo que nuestro motor de 3 capas sí protege es la segunda mitad del ataque, la parte que casi siempre acaba en un navegador.

Una vez que la víctima está al teléfono, el "agente" frecuentemente la dirige a algún sitio: a un formulario de reembolso falso, a una página de inicio de sesión clonada, o a un enlace de descarga de software de acceso remoto. Ese es el momento en que SafeBrowz actúa.

  • La detección local compara la página con más de 60 patrones de URL y más de 550 firmas de marca antes de que termine de cargar, así que una página de "reembolso" que imita a Norton, McAfee, Apple o PayPal activa un bloqueo a la vista.
  • Las comprobaciones de API cruzan el destino con inteligencia de amenazas agregada, incluyendo Google Safe Browsing, PhishTank y URLhaus, para atrapar enlaces y descargas de herramientas remotas ya marcados en otros sitios.
  • El análisis de contenido por IA (Premium) lee una página completamente nueva que ninguna lista de bloqueo tiene todavía y reconoce la estructura de un formulario de robo de credenciales o de falso reembolso, en más de 100 idiomas, en el momento en que se publica.

En términos claros: no podemos quitar un recibo plantado dentro de la app de Shopify, y ninguna herramienta de navegador puede impedir que marques un número. Lo que sí podemos hacer es asegurarnos de que cuando la llamada inevitablemente intente empujarte a una página web, esa página no cargue en silencio.

Por qué la protección del lado del navegador sigue importando cuando el cebo es una llamada

Es justo preguntar: si el cebo está en una app y el anzuelo es una llamada de voz, ¿qué hace aquí una defensa de navegador? La respuesta es que las estafas por llamada casi nunca terminan en el teléfono. El teléfono es donde se construye la confianza; la web es donde se ejecuta el robo. Un atacante puede pedirte que leas un código por voz, pero para cosechar una contraseña a escala, instalar software o quedarse con un número de tarjeta, te encauzan abrumadoramente hacia una URL. Ese traspaso a la web es el punto de estrangulamiento.

Un filtro solo de correo no puede ayudar nada aquí, porque no hubo correo. El cebo vivió en una app que nunca inspeccionó. Una capa del lado del navegador es lo contrario: no le importa cómo llegaste a la página, solo qué es la página. Tanto si llegaste a un inicio de sesión falso de PayPal desde un correo, un SMS o un agente telefónico que te lee un enlace, la defensa es idéntica, porque se sitúa en la página, no en la bandeja de entrada. Esa es precisamente la razón por la que una estafa dentro de la app y centrada en la voz aún se detiene en el navegador: los delincuentes siguen necesitando la web para terminar el trabajo.

Señales de alarma: detéctalo en 30 segundos

  • Aparece un pedido o factura que no reconoces en la app Shop por una marca como Norton, McAfee, Apple o PayPal.
  • El recibo incluye un número de teléfono para "reclamar", "cancelar" o "detener" el cargo. Los recibos reales te dirigen a tu cuenta, no a una línea impresa en la factura.
  • El importe es grande y alarmante, a menudo unos cientos de dólares, diseñado para que llames antes de pensar.
  • La redacción está ligeramente mal: gramática rara, un saludo genérico, una "renovación" que nunca configuraste.
  • En la llamada te piden que leas un código de un solo uso, que instales software de soporte remoto, o que devuelvas un "pago excesivo". Cualquiera de estos termina la conversación.
  • Te empujan a un enlace de un formulario de reembolso o inicio de sesión. No escribas nada en él; escanéalo primero.

Una de estas basta para parar. Dos o más es una estafa confirmada.

Qué hacen las víctimas ahora mismo

Si un pedido falso apareció en tu app Shop, o ya llamaste, actúa en este orden.

  1. No llames al número del recibo. El número de teléfono es el ataque. Si quieres comprobar un cargo, ignora el recibo por completo y verifica dentro de la app de tu banco y la propia app o sitio web de la marca.
  2. Verifica el pedido solo dentro de la cuenta oficial de la tienda. Abre la marca directamente, escribiendo paypal.com, apple.com, norton.com o mcafee.com tú mismo, o revisando tu extracto bancario. Un cargo que no existe en tu cuenta real nunca existió.
  3. Si ya llamaste y diste información, muévete rápido. Si compartiste datos de tarjeta o banco, llama ahora a tu emisor de tarjeta o banco y haz que bloqueen la tarjeta o reclamen la transacción. Si diste una contraseña, cámbiala de inmediato yendo tú mismo al sitio real, y activa la autenticación de dos factores.
  4. Si leíste en voz alta un código de un solo uso, asume que se autorizó una cuenta o un pago. Contacta directamente con el banco o la marca y pídeles que lo bloqueen o reviertan.
  5. Si instalaste algún software de "soporte", desconecta el dispositivo de internet, desinstala la herramienta, cambia las contraseñas desde otro dispositivo limpio distinto, y ejecuta un análisis de seguridad completo. Trata como comprometida cualquier cuenta en la que iniciaste sesión durante esa sesión.
  6. Denúncialo. En España, presenta una denuncia en INCIBE llamando al 017 o en incibe.es. En México, repórtalo a la CONDUSEF o a PROFECO. En Estados Unidos, presenta la denuncia ante la FTC en reportfraud.ftc.gov y reporta cualquier robo online al Centro de Quejas de Delitos en Internet del FBI en ic3.gov. Reportar el pedido falso dentro de la propia app Shop también ayuda a Shopify, que ha dicho que desplegó nuevos controles que redujeron esta actividad.
  7. Vigila tus extractos a diario durante 30 días. Algunos atacantes esperan antes de actuar, con la esperanza de que hayas dejado de mirar.

Actualizado el 29 de junio de 2026.

Cómo bloquea SafeBrowz esta amenaza

SafeBrowz ejecuta una arquitectura de detección de 3 capas: Local + APIs + IA. Somos honestos sobre el alcance: esta estafa empieza dentro de una app cerrada y se ejecuta por una llamada de teléfono, y ninguna herramienta de navegador puede alcanzar ninguna de esas dos. Donde SafeBrowz funciona es en la página web a la que la llamada casi siempre te empuja, el formulario de reembolso falso, el inicio de sesión clonado, la descarga de herramienta remota.

  • Capa 1 - Detección local: más de 60 patrones de URL + más de 550 firmas de marca se ejecutan dentro de la extensión antes de que la página se renderice. Norton, McAfee, Apple, PayPal y Shopify están en la base de datos de marcas, así que una página de "reembolso" o "inicio de sesión" que imita la marca activa un bloqueo antes de que cargue ningún campo.
  • Capa 2 - Comprobaciones de API: agrega Google Safe Browsing, PhishTank, URLhaus e inteligencia de TLD de estafa para atrapar dominios maliciosos imitadores conocidos y enlaces de descarga de acceso remoto marcados.
  • Capa 3 - Análisis profundo por IA (Premium): el análisis de contenido por IA a través de nuestro proxy lee la página en más de 100 idiomas, reconoce la imitación de marca y la estructura de un formulario de robo de credenciales o falso reembolso, y marca clones completamente nuevos en el momento en que se publican, antes de que ninguna lista de bloqueo los tenga.

La app SafeBrowz para Android en Google Play, ya disponible, aplica el mismo motor a los enlaces que abres en tu teléfono, que es exactamente a donde te envían estas llamadas, y la extensión de navegador gratuita hace lo mismo en el ordenador, marcando la página de inicio de sesión o pago falsa antes de que escribas nada en ella.

Las firmas de detección provienen de la investigación de inteligencia de amenazas y del análisis de la base de datos de marcas, no de los datos de navegación de los usuarios. No se almacena el historial de navegación de ningún usuario.

En conclusión: un recibo falso y un número de teléfono no se pueden filtrar fuera de una app en la que confías, pero la página a la que te dirigen sí se puede detener antes de que cargue. Pon SafeBrowz en tu navegador y tu teléfono para que la página de robo de credenciales o de falso reembolso al final de la llamada nunca se abra.

Bloquea las páginas falsas de reembolso e inicio de sesión antes de hacer clic

SafeBrowz es una extensión de navegador gratuita para Chrome, Firefox y Edge (Safari muy pronto), más una app SafeBrowz para Android ya disponible, que bloquea automáticamente las páginas falsas de inicio de sesión y pago. Reconoce más de 550 marcas, incluyendo Norton, McAfee, Apple, PayPal y Shopify, todas marcadas automáticamente cuando una página intenta suplantarlas. El análisis de contenido por IA funciona en más de 100 idiomas y detecta nuevos dominios de phishing en el momento en que se publican. Gratis para siempre, sin necesidad de cuenta. Preguntas: [email protected].

Chrome Añadir a Chrome Firefox Añadir a Firefox Edge Añadir a Edge Android Conseguir en Android

Preguntas frecuentes

¿El aviso de pedido con un número de soporte en la app Shop es real?

Casi siempre no. El Shopify real y las marcas que se muestran en la app no plantan un recibo con una línea directa ni te presionan para que llames y detengas un cargo. La firma de seguridad Gen Digital documentó a atacantes insertando pedidos falsos junto a los genuinos en la app Shop, cada uno con un número de teléfono que conecta con un estafador. Nunca llames a un número de una notificación de pedido. Verifica un cargo iniciando sesión en tu banco y en el propio sitio de la marca, como paypal.com o apple.com, directamente.

¿Qué es una estafa de phishing por llamada o TOAD?

TOAD significa telephone-oriented attack delivery (ataque entregado por teléfono), también llamado phishing por llamada de vuelta. En lugar de un enlace malicioso, el cebo es un mensaje o recibo que te da un número de teléfono al que llamar. El ataque real ocurre en la llamada de voz, donde un falso agente te presiona en tiempo real para que entregues una contraseña, un número de tarjeta, un código de un solo uso, o para que instales software de acceso remoto. Como no hay enlace que pulsar, los escáneres de enlaces y adjuntos no lo atrapan.

¿Hackearon a Shopify o a la app Shop?

No. Según Gen Digital, no hubo evidencia de que Shop, Shopify o ninguna de las empresas suplantadas (Norton, McAfee, Apple, PayPal) fueran comprometidas. Los atacantes están abusando de cómo la app puebla los pedidos desde múltiples fuentes para conseguir que aparezcan recibos falsos. Shopify ha dicho que identificó a malos actores haciendo un mal uso de la plataforma para generar notificaciones de pedido falsas y desplegó nuevos controles que redujeron significativamente esta actividad.

¿Por qué esta estafa esquiva mi filtro de spam del correo?

Porque el cebo no es un correo. Aparece como un pedido dentro de la app Shop, un lugar que abriste a propósito para seguir compras reales. Las pasarelas de seguridad de correo y los filtros de spam nunca lo ven, y la carga útil, un número de teléfono, no es algo que una lista de bloqueo de URL o un escáner de adjuntos esté diseñado para marcar. El contenedor de confianza es lo que hace que se cuele.

Llamé al número de un recibo falso de Shop. ¿Qué debo hacer?

Actúa rápido. Si compartiste datos de tarjeta o banco, llama a tu emisor de tarjeta o banco de inmediato y haz que bloqueen la tarjeta o reclamen la transacción. Si diste una contraseña, cámbiala ahora yendo tú mismo al sitio real y activa la autenticación de dos factores. Si leíste en voz alta un código de un solo uso, contacta directamente con el banco o la marca para bloquear o revertir cualquier pago autorizado. Si instalaste software de soporte remoto, desconecta el dispositivo, desinstálalo, cambia las contraseñas desde un dispositivo limpio, y ejecuta un análisis de seguridad completo.

¿Cómo distingo un pedido real de un falso plantado en la app Shop?

Ignora el recibo y comprueba la fuente de la verdad. Un cargo real aparecerá en tu extracto bancario o de tarjeta y dentro de la propia cuenta de la marca cuando inicies sesión directamente. Un falso plantado no existirá en ningún sitio salvo en la notificación de Shop. Las señales de alarma son un cargo grande poco familiar, un número de teléfono impreso en el recibo para reclamarlo, gramática rara, y una renovación que nunca configuraste.

¿Qué marcas se suplantan en esta estafa?

Gen Digital documentó recibos falsos suplantando a Norton, McAfee, Apple y PayPal. Estas son empresas reales y legítimas cuyos sitios verdaderos (norton.com, mcafee.com, apple.com, paypal.com) son seguros. El fraude es un desconocido tomando prestado el nombre de la marca en un recibo que la marca nunca envió. Esperamos que los atacantes roten la marca hacia nombres de marketplace, streaming, entrega y soporte técnico con el tiempo, ya que el contenedor cebo es lo que funciona, no ningún logo en concreto.

¿Puede SafeBrowz detener esta estafa?

SafeBrowz no puede eliminar un recibo falso de dentro de la app de Shopify ni impedir que marques un número, y no afirmamos que pueda. Lo que sí bloquea es la página web a la que la llamada casi siempre te dirige: el formulario de reembolso falso, el inicio de sesión clonado, o la descarga de herramienta remota. Su motor de 3 capas (Local, APIs, IA) marca esas páginas antes de que carguen en Chrome, Firefox, Edge y la app SafeBrowz para Android. La detección proviene de la investigación de inteligencia de amenazas y de una base de datos de marcas, no de los datos de navegación de los usuarios.

Lectura relacionada