La app Shop de Shopify, usada para ataques de phishing por callback
Resumen rápido
Actores maliciosos están explotando la aplicación Shop, de seguimiento de pedidos de Shopify, para insertar recibos de compra fraudulentos en el historial de los usuarios. El objetivo es engañarles para que llamen a un número de soporte falso, facilitando así el robo de credenciales o la instalación de software de acceso remoto. Esta táctica, conocida como callback phishing, combina la confianza depositada en plataformas legítimas con ingeniería social avanzada.
Recibos falsos en una app de confianza: el nuevo vector de callback phishing
La aplicación Shop, desarrollada por Shopify para que los usuarios rastreen sus pedidos en línea, está siendo aprovechada por ciberdelincuentes como canal para distribuir ataques de callback phishing. La mecánica es sencilla pero efectiva: los atacantes consiguen introducir órdenes de compra ficticias en el historial de pedidos de las víctimas, generando notificaciones que simulan transacciones reales.
¿Cómo funciona el ataque?
Cuando el usuario visualiza el recibo fraudulento, este incluye un número de teléfono de «soporte al cliente» para supuestamente cancelar o disputar el cargo. Al llamar, la víctima contacta con un operador malicioso que, bajo distintos pretextos, intenta obtener credenciales bancarias, datos personales o convencer al usuario de instalar herramientas de acceso remoto como AnyDesk o TeamViewer. Una vez con acceso al equipo, los atacantes pueden moverse lateralmente, extraer información sensible o desplegar malware adicional.
Esta técnica no es nueva en sí misma —se ha utilizado previamente suplantando marcas como PayPal o Norton—, pero el abuso de una plataforma legítima y ampliamente utilizada como Shop eleva considerablemente la tasa de éxito, ya que el contexto de la app aumenta la percepción de legitimidad entre los destinatarios.
Por qué resulta especialmente peligrosa esta táctica
El callback phishing es especialmente difícil de detectar mediante filtros de correo o herramientas antispam convencionales, dado que el vector inicial puede llegar a través de notificaciones push o del propio interfaz de la app, no necesariamente por email. Además, al involucrar una llamada telefónica, traslada el proceso de engaño a un canal donde los controles tecnológicos son prácticamente inexistentes.
Los usuarios más expuestos son aquellos que realizan compras frecuentes en línea y tienen Shop instalado, puesto que la aparición de un nuevo pedido en su historial no resulta inusual y puede pasar desapercibida hasta que el importe ficticio llama su atención.
Recomendaciones para usuarios y equipos de seguridad
- No llamar nunca a números de teléfono incluidos en recibos o notificaciones sin verificar su autenticidad directamente en el sitio oficial del comercio.
- Revisar el historial de pedidos con ojo crítico: si aparece una compra no reconocida, acceder directamente a la web del vendedor para confirmarla.
- Concienciar a los empleados sobre el callback phishing, especialmente en entornos donde se usan dispositivos corporativos para compras personales.
- Denunciar cualquier pedido sospechoso a través de los canales oficiales de Shopify.
¿Estás cubierto en DefensOps?
Aunque esta amenaza no tiene asociada una técnica MITRE ATT&CK específica, DefensOps dispone de cobertura genérica a través de su motor de correlación, disponible desde el plan Essential. Este motor permite detectar patrones de comportamiento anómalos que podrían indicar la presencia de software de acceso remoto instalado sin autorización —uno de los objetivos finales de estos ataques— o actividad inusual en dispositivos de usuarios.
Si quieres saber cómo DefensOps puede ayudarte a detectar amenazas basadas en ingeniería social y acceso remoto no autorizado, consulta nuestros planes y solicita una demo.
Fuente: BleepingComputer – Order-tracking app Shop abused to push callback phishing attacks
¿Estás cubierto en DefensOps?
DefensOps detecta esta amenaza desde el plan Essential.
- Cobertura genérica vía motor de correlación · plan Essential
Protege tu organización con DefensOps
SIEM, detección gestionada y respuesta. Descubre cómo cubrimos amenazas como esta.