Recibos falsos en una app de confianza: el nuevo vector de callback phishing

La aplicación Shop, desarrollada por Shopify para que los usuarios rastreen sus pedidos en línea, está siendo aprovechada por ciberdelincuentes como canal para distribuir ataques de callback phishing. La mecánica es sencilla pero efectiva: los atacantes consiguen introducir órdenes de compra ficticias en el historial de pedidos de las víctimas, generando notificaciones que simulan transacciones reales.

¿Cómo funciona el ataque?

Cuando el usuario visualiza el recibo fraudulento, este incluye un número de teléfono de «soporte al cliente» para supuestamente cancelar o disputar el cargo. Al llamar, la víctima contacta con un operador malicioso que, bajo distintos pretextos, intenta obtener credenciales bancarias, datos personales o convencer al usuario de instalar herramientas de acceso remoto como AnyDesk o TeamViewer. Una vez con acceso al equipo, los atacantes pueden moverse lateralmente, extraer información sensible o desplegar malware adicional.

Esta técnica no es nueva en sí misma —se ha utilizado previamente suplantando marcas como PayPal o Norton—, pero el abuso de una plataforma legítima y ampliamente utilizada como Shop eleva considerablemente la tasa de éxito, ya que el contexto de la app aumenta la percepción de legitimidad entre los destinatarios.

Por qué resulta especialmente peligrosa esta táctica

El callback phishing es especialmente difícil de detectar mediante filtros de correo o herramientas antispam convencionales, dado que el vector inicial puede llegar a través de notificaciones push o del propio interfaz de la app, no necesariamente por email. Además, al involucrar una llamada telefónica, traslada el proceso de engaño a un canal donde los controles tecnológicos son prácticamente inexistentes.

Los usuarios más expuestos son aquellos que realizan compras frecuentes en línea y tienen Shop instalado, puesto que la aparición de un nuevo pedido en su historial no resulta inusual y puede pasar desapercibida hasta que el importe ficticio llama su atención.

Recomendaciones para usuarios y equipos de seguridad

  • No llamar nunca a números de teléfono incluidos en recibos o notificaciones sin verificar su autenticidad directamente en el sitio oficial del comercio.
  • Revisar el historial de pedidos con ojo crítico: si aparece una compra no reconocida, acceder directamente a la web del vendedor para confirmarla.
  • Concienciar a los empleados sobre el callback phishing, especialmente en entornos donde se usan dispositivos corporativos para compras personales.
  • Denunciar cualquier pedido sospechoso a través de los canales oficiales de Shopify.

¿Estás cubierto en DefensOps?

Aunque esta amenaza no tiene asociada una técnica MITRE ATT&CK específica, DefensOps dispone de cobertura genérica a través de su motor de correlación, disponible desde el plan Essential. Este motor permite detectar patrones de comportamiento anómalos que podrían indicar la presencia de software de acceso remoto instalado sin autorización —uno de los objetivos finales de estos ataques— o actividad inusual en dispositivos de usuarios.

Si quieres saber cómo DefensOps puede ayudarte a detectar amenazas basadas en ingeniería social y acceso remoto no autorizado, consulta nuestros planes y solicita una demo.


Fuente: BleepingComputer – Order-tracking app Shop abused to push callback phishing attacks