Protege la cuenta contra el phishing, el vishing y el smishing
El término phishing describe estafas de robo de identidad que usan sitios web falsos y correos electrónicos u otros mensajes. El objetivo de un ataque de phishing es obtener acceso a la cuenta y a información confidencial. Un atacante puede crear un sitio web que imite uno de confianza o enviar un mensaje que parezca provenir de una fuente confiable. Los mensajes de phishing pueden provenir de una cuenta falsa o de una cuenta que fue vulnerada.
Los atacantes también pueden intentar tácticas similares para atacar la cuenta usando vishing (phishing por voz) y smishing (phishing por SMS o texto) para recopilar información confidencial. Evita proporcionar información confidencial por teléfono y no hagas clic en enlaces potencialmente riesgosos enviados por SMS. Si sospechas que recibiste una llamada o un SMS de phishing, comunícate con Shopify Support de inmediato.
Un mensaje de phishing puede pedirte que hagas lo siguiente:
- abrir un enlace
- descargar un archivo
- abrir un archivo adjunto
- responder con información personal o con códigos de autenticación en dos pasos
Si realizas cualquiera de estas acciones, puedes infectar la computadora o el dispositivo móvil con malware, es decir, software malicioso como gusanos, troyanos, bots y virus. Una vez infectado el dispositivo, un atacante puede obtener acceso a la información personal.
Las estafas de phishing también pueden incluir solicitudes directas de información personal, como las credenciales de la cuenta bancaria.
Las estafas de phishing pueden pedirte que proporciones información personal de las siguientes maneras:
- por correo electrónico u otro sistema de mensajería
- mediante un formulario
- mediante un número de teléfono fraudulento
- mediante una dirección física falsa
Incluso una solicitud para que ingreses la dirección de correo electrónico y restablezcas la contraseña puede ser peligrosa.
En esta página
- Recognizing legitimate Shopify emails
- Know the warning signs
- Shopify and requests for sensitive documents
- Raise concerns using another mode of communication
- Verify that your connection to a website uses HTTPS
- Only open attachments or links that you expect to receive
- Be careful when you use public Wi-Fi
- Follow government guidelines if your personal information is compromised
Reconocer correos electrónicos legítimos de Shopify
Shopify solo enviará correos electrónicos desde dominios oficiales como @shopify.com, @email.shopify.com, @em.shopify.com y @shopify-billpay.melio.com. Los correos de servicios públicos como Gmail, Yahoo, Apple Mail o Hotmail no provienen de Shopify y se deben tratar como posibles intentos de phishing.
Identificar enlaces seguros en correos electrónicos de Shopify
Para garantizar una entrega de correos fiable, Shopify puede usar un servicio de envío de confianza para comunicarse con los comerciantes. Esto significa que los enlaces en los correos pueden verse diferentes e incluir el dominio shopifysvc.com, que es seguro.
Verifica siempre las URL antes de hacer clic. Evita hacer clic en enlaces de correos electrónicos a menos que tengas certeza sobre la autenticidad del remitente. Si en algún momento dudas de la autenticidad de un correo, comunícate con Shopify Support para obtener ayuda.
Qué hacer si sospechas de un correo de phishing
Si hiciste clic por accidente en un enlace de un correo de phishing, actúa de inmediato:
- Change your Shopify account password.
- Activa two-step authentication para mayor seguridad.
- Comunícate con Shopify Support para comprobar si hubo accesos no autorizados a la cuenta.
Señales de un correo de phishing
Ten en cuenta estas señales comunes de que un correo podría ser un intento de phishing:
- Correos inesperados de servicios de correo gratuitos.
- Solicitudes de información personal.
- Errores de ortografía y gramática.
- Lenguaje urgente o amenazante.
- Enlaces a sitios web desconocidos.
Importancia de la autenticación en dos pasos
Activar la autenticación en dos pasos, también conocida como autenticación de dos factores o autenticación multifactor, en la cuenta de Shopify agrega una capa adicional de protección y dificulta que personas no autorizadas accedan a la cuenta. Esto hace que el inicio de sesión sea más seguro, especialmente si sospechas que recibiste un correo de phishing. Más información sobre cómo proteger la cuenta con la autenticación en dos pasos.
Verifica correos sospechosos
Si recibes un correo que parece ser de atención al cliente de Shopify pero te resulta sospechoso, verifica su legitimidad:
- Comprueba que el correo provenga de un dominio oficial de Shopify como
@shopify.com,@email.shopify.com,@em.shopify.comy@shopify-billpay.melio.com. - Presta atención a caracteres o signos de puntuación inusuales en la dirección de correo.
- Si tienes dudas, comunícate directamente con atención al cliente de Shopify por los canales oficiales para confirmar.
Conoce las señales de alerta
Puedes protegerte del phishing si conoces las señales de alerta. Lee los mensajes con atención, sin importar de quién parezcan provenir, y examina los sitios web aunque te resulten familiares.
Lenguaje vago o genérico
Aunque el phishing puede estar bien investigado y adaptado a ti y a tu empresa, el lenguaje genérico es característico de estas estafas. Desconfía de los mensajes que parezcan de una organización en la que confías pero que empiezan con frases vagas como Estimado titular de la cuenta.
Además, si un mensaje promete una oportunidad comercial o financiera importante, pero no incluye suficiente información para confirmar que la persona remitente te conoce, puede tratarse de una estafa.
Soy Frederick, banquero.
Por favor, contáctame lo antes posible sobre la herencia de un familiar fallecido.
No puedo compartir mucho por SMS. Escríbeme a la dirección que figura abajo.
Mensajes comerciales desde cuentas personales
Atacantes sofisticados pueden reunir suficiente información de tu presencia online para crear un mensaje que parezca provenir de un contacto real.
Actualización de precios de mayoristaHola, Georgia:
Solo quería ponerte al día. Aquí tienes una hoja de cálculo con nuestros precios de mayorista actuales: fabric-prices-october.xls
¡Espero que el último lote de camisetas te haya gustado! Avísame si tienes preguntas o inquietudes.
Julia Chan
Gerente de cuenta
Example Fabrics
Los atacantes pueden hackear la cuenta empresarial de tu contacto o crear una cuenta personal falsa para enviar un correo de phishing. Por ejemplo, si el nombre de usuario del correo personal de tu contacto Julia es juliachan3857, un atacante podría enviarte un correo desde una cuenta con el nombre de usuario juliachan9665. Este tipo de ataque se aprovecha de los siguientes comportamientos:
- Muchas personas envían correos desde la cuenta equivocada por error.
- Aunque conozcas la dirección de correo personal de Julia, tal vez no la revises con detalle y no notes la diferencia.
Tono alarmista o exagerado
Desconfía de solicitudes urgentes que intentan asustarte para que actúes sin pensar. Por ejemplo:
Tuvimos una falla catastrófica del servidor. Responde con tu nombre de usuario y contraseña en las próximas 24 horas o perderás el acceso a tu tienda de forma permanente.
Los correos pueden hacer ofertas que parecen demasiado buenas para ser verdad, como un 90% de descuento de una empresa de viajes disponible solo si actúas ahora.
Errores ortográficos, gramaticales y variaciones de estilo
Aunque un sitio web o un correo fraudulento pueda verse profesional, puede contener errores tipográficos y gramaticales. Para determinar si un sitio web o un correo puede ser fraudulento, busca usos incorrectos o inconsistencias en lo siguiente:
- ortografía
- uso de mayúsculas
- números
- puntuación
- formato
URL sospechosas
Los intentos de phishing pueden incluir URL que parecen legítimas si no las miras con atención. Muchos intentos de phishing usan URL elegidas deliberadamente para parecerse a una que ya conoces. Por ejemplo, si normalmente compras trajes de baño en Example Apparel en la URL legítima y recibes un correo con un enlace a una URL falsa, podrás identificar que se trata de un intento de phishing.
La URL real te dirige a un sitio en el dominio example-apparel.com, que pertenece a Example Apparel, y la URL falsa te dirige a un sitio malicioso en el dominio com-aquatic.net, probablemente en manos de delincuentes.
| URL legítima | URL falsa |
|---|---|
| example-apparel.com/aquatic/swimmies | example-apparel.com-aquatic.net/swimmies |
Shopify y las solicitudes de documentos confidenciales
Shopify nunca solicita información confidencial directamente por correo electrónico en formato de texto o imagen, ni como archivo adjunto.
Estos son ejemplos de documentos confidenciales:
- cualquier forma de identificación
- contraseñas
- información de la tarjeta de crédito
- información bancaria
- números de identificación nacional, como SIN (social insurance number) o SSN (social security number)
Shopify solo solicita que envíes documentos confidenciales mediante una página segura para subir documentos que empiece con app.shopify.com o .shopify.com.
Plantea las dudas por otro canal de comunicación
Habla en persona o por teléfono con quien supuestamente envió el mensaje sospechoso y resuelve dudas sobre una página web hablando con alguien de la organización.
Si te comunicas con el remitente por teléfono, usa un número que tengas registrado o que aparezca en varias fuentes confiables online. Por ejemplo, si recibes por correo electrónico una solicitud de información sospechosa de tu autoridad fiscal, llama a la entidad al número que figura en la declaración de impuestos del año pasado. No llames a un número que aparezca en un sitio web sospechoso ni en un correo electrónico.
Verifica que la conexión a un sitio web use HTTPS
Cuando te conectes a cualquier sitio web donde puedan pedirte ingresar un nombre de usuario y una contraseña u otra información confidencial, verifica que aparezca un ícono de candado junto a la URL en el navegador.

El ícono de candado indica que la conexión al sitio está cifrada mediante el protocolo HTTPS. Las URL de conexiones cifradas comienzan con https:// en lugar de http://. Las conexiones que usan http:// envían datos en texto sin formato, lo que significa que pueden interceptarse en el trayecto y leerse.
Antes de hacer clic en un enlace hacia un sitio donde vayas a ingresar información, verifica que la URL comience con https://.
Abre solo archivos adjuntos o enlaces que esperas recibir
No interactúes con archivos adjuntos, enlaces ni formularios a menos que esperes recibirlos y sepas qué contienen. No solo pueden redirigirte a un sitio malicioso diseñado para robar tu información, también pueden infectar el dispositivo con malware.
Cuando el texto del enlace es una URL, verifica que coincida con la URL del enlace. Por ejemplo, un enlace escrito como https://help.shopify.com en el cuerpo de un correo electrónico podría llevarte a una página de phishing en otra URL.
Muchos ataques de phishing intentan aprovecharse de la banca en línea. Si recibes un correo electrónico sospechoso de tu banco con una oferta especial de línea de crédito, no hagas clic en el enlace. En su lugar, escribe la URL del banco manualmente en una ventana nueva y verifica si la oferta aparece en el panel de control de la cuenta.
Ten cuidado cuando uses Wi‑Fi público
El Wi‑Fi público es práctico cuando no estás en casa o en el trabajo, pero ofrece muchas maneras de que atacantes accedan a tu información. Puedes reducir los riesgos si tomas medidas para protegerte y proteger tu información.
Verifica los nombres de los puntos de acceso
Un atacante puede crear su propio punto de acceso Wi‑Fi sin cifrar cuyo nombre sea similar al de uno legítimo en la misma zona, como la red de una cafetería. Si te conectas al punto de acceso de phishing, el atacante puede dirigirte a una página propia donde te exponga a malware o te pida ingresar información privada.
Antes de conectarte a un punto de acceso, asegúrate de que el que planeas usar sea legítimo. Si no encuentras el nombre del punto de acceso en un lugar visible, pregunta a alguien del personal en ese lugar.
Desactiva las vías de acceso a tu dispositivo
Incluso si te conectaste a un punto de acceso Wi‑Fi público legítimo, aún corres riesgo por estar en la misma red que un atacante. Las redes Wi‑Fi públicas son mucho menos seguras que las redes privadas, como la de casa o la de la oficina.
Protégente desactivando el uso compartido de archivos en la red y activando el firewall antes de conectarte. Aun con estas precauciones, no es buena idea enviar ni recibir contenido confidencial usando una red Wi‑Fi pública.
Envía y recibe datos confidenciales solo a través de una VPN
Una red privada virtual establece una conexión segura entre el dispositivo y los servidores de la empresa de VPN. Desde allí, los servidores de la VPN envían tu información a internet. Si un atacante obtiene acceso a los datos que transmites y recibes a través de un punto de acceso Wi‑Fi público, esos datos estarán cifrados y no le servirán.
Techradar y PC Mag son buenos lugares para comenzar si quieres aprender a elegir una VPN.
Sin una VPN, la opción más segura es evitar transmitir información confidencial por Wi‑Fi público.
Sigue las recomendaciones del gobierno si tu información personal se ve comprometida
Información de identificación personal (PII) consiste en datos que podrían usarse para identificar a una persona en particular o incluso suplantar su identidad. La PII incluye los siguientes tipos de información:
- nombre completo
- dirección de correo electrónico
- dirección postal
- número de teléfono
- número de tarjeta de crédito
- número de identificación nacional, como SIN, SSN o número de pasaporte
- licencia de conducir
- fecha de nacimiento
Si proporcionaste información de identificación personal a través de un canal sospechoso o si la cuenta de Shopify se vio comprometida, consulta las guías de tu gobierno, como esta información de los gobiernos de Canadá y de Estados Unidos.
Canadá
Qué hacer:
Presentar un reporte:
Estados Unidos
Qué hacer:
Presentar un reporte: