Aplicación de seguimiento de pedidos Shop es utilizada para difundir estafas de phishing telefónico

Qué pasó

Investigadores de la empresa de ciberseguridad Gen Digital advirtieron, en un reporte publicado el 25 de junio de 2026, sobre una campaña de estafas que utiliza la aplicación Shop, el asistente digital de seguimiento de pedidos desarrollado por Shopify. Los atacantes insertan comprobantes de compra falsos en los historiales de órdenes de los usuarios, los cuales aparecen junto a compras legítimas previamente realizadas.

La aplicación Shop funciona como una plataforma centralizada donde los usuarios pueden rastrear pedidos de múltiples comercios electrónicos, acceder a comprobantes y actualizaciones de envío, además de descubrir productos de merchants que utilizan Shopify. La aplicación registra 50 millones de descargas en Google Play y siete millones de calificaciones en la tienda de aplicaciones de Apple, con una presencia particularmente fuerte en América del Norte.

Según el informe de Gen Digital, los comprobantes fraudulentos imitan a reconocidas marcas como Norton, McAfee, Apple y PayPal. Cada recibo incluye un número de teléfono al que las víctimas pueden llamar para disputar la compra inexistente. Al otro lado de la línea, un estafador se hace pasar por un agente de soporte al cliente y, mediante técnicas de ingeniería social, intenta que la víctima entregue credenciales de acceso, datos de tarjetas de pago o códigos temporales de autenticación (OTP).

En algunos casos documentados por los investigadores, las víctimas son convencidas de instalar software que otorga acceso remoto al dispositivo, lo que permite a los atacantes extraer información sensible directamente desde el equipo del usuario. Gen Digital subraya que los comprobantes fraudulentos suelen contener errores gramaticales visibles, aunque estos pueden pasar desapercibidos cuando el usuario observa un cargo elevado a su nombre.

La empresa de ciberseguridad aclaró que no existen evidencias de que Shop, Shopify o las marcas suplantadas hayan sufrido una filtración o compromiso de sus sistemas. Un portavoz de Shopify confirmó a BleepingComputer que la compañía identificó a los actores maliciosos que utilizaban la plataforma para generar notificaciones de pedidos falsas y que implementó nuevos controles que han reducido significativamente esta actividad.

Contexto

El caso se inscribe en una tendencia creciente de ataques de phishing por devolución de llamada (callback phishing), una variante en la que los ciberdelincuentes cambian el canal de contacto tradicional —el correo electrónico— por una llamada telefónica directa. Esta técnica ha ganado terreno porque explota la confianza que los usuarios depositan en los números de atención al cliente y en las aplicaciones legítimas.

Shopify es uno de los mayores proveedores globales de infraestructura para comercio electrónico, con presencia significativa entre pequeñas y medianas empresas que utilizan su plataforma para gestionar ventas en línea. La aplicación Shop fue diseñada para fidelizar a los consumidores mediante la centralización del seguimiento de pedidos, un modelo que los atacantes ahora intentan capitalizar.

El reporte de Gen Digital destaca que insertar comprobantes falsos en una aplicación legítima resulta más efectivo que enviar notificaciones fraudulentas por correo electrónico, ya que los usuarios confían inherentemente en el entorno de Shop. Esta dinámica refleja un cambio en la estrategia de los ciberdelincuentes, que cada vez se apoyan más en plataformas reconocidas para distribuir sus ataques.

La técnica también pone en evidencia los desafíos que enfrentan las plataformas de comercio electrónico para verificar la autenticidad de las notificaciones de pedidos, especialmente cuando la información puede poblarse desde múltiples

Impacto para empresas chilenas

Aunque la aplicación Shop tiene mayor adopción en América del Norte, su uso se ha extendido gradualmente a otros mercados, incluido Chile, donde un número creciente de consumidores utiliza la plataforma para rastrear pedidos realizados en comercios internacionales. El caso representa una alerta para los usuarios locales, particularmente para aquellos que han realizado compras recientes en tiendas que operan sobre Shopify.

Para las pequeñas y medianas empresas chilenas que venden a través de Shopify o utilizan la aplicación Shop como canal de relación con sus clientes, el incidente subraya la necesidad de fortalecer las comunicaciones de seguridad y de educar a sus compradores sobre cómo verificar la autenticidad de los comprobantes. Una campaña de estafas que dañe la confianza en la plataforma podría afectar indirectamente a los comerciantes locales que dependen del ecosistema.

El sector financiero y las empresas de tecnología chilenas también deben considerar este caso como un llamado a reforzar sus propios protocolos de verificación. Los ataques de ingeniería social, en los que un supuesto agente de soporte solicita códigos de autenticación o credenciales, son una amenaza transversal que puede afectar a clientes de bancos, fintech y plataformas de comercio electrónico operando en el país.

A nivel corporativo, el episodio refuerza la relevancia de invertir en programas de concientización sobre ciberseguridad para empleados y clientes, una materia donde Chile ha avanzado en regulación, pero donde persisten brechas de adopción entre las empresas de menor tamaño.

Qué sigue

Shopify anunció la implementación de nuevos controles para mitigar la actividad fraudulenta, aunque no entregó detalles técnicos sobre las medidas adoptadas. Se espera que la compañía publique más información a medida que las investigaciones avancen y se identifiquen los mecanismos exactos mediante los cuales los comprobantes falsos se insertan en la aplicación.

El caso probablemente acelerará la adopción de mecanismos de verificación más estrictos en plataformas de seguimiento de pedidos, incluyendo la validación de comerciantes, la autenticación de notificaciones y la detección automatizada de anomalías. Para los usuarios, la recomendación central es verificar cualquier cargo sospechoso directamente con la marca o el comercio correspondiente, utilizando siempre los canales oficiales y nunca los números de teléfono incluidos en comprobantes no solicitados.