Estafas, información sobre amenazas

Dentro de una red de más de 20 000 tiendas falsas

por Stefan Dasic | 18 de marzo de 2026
Tiendas falsas clonadas

Hemos identificado una extensa red de tiendas falsas que cuenta con más de 20 000 dominios, docenas de direcciones IP compartidas y páginas de inicio idénticas con diferentes nombres superpuestos. Su único objetivo es robar tus datos de pago y tus datos personales. El nexo que las une a todas es el título de una pestaña del navegador que a la mayoría de la gente ni siquiera le llamaría la atención:«Una selección inigualable solo para ti».

Escaparates relucientes, almacenes vacíos

Las tiendas falsas son sitios web fraudulentos diseñados para parecer tiendas online legítimas. Cuentan con listados de productos, logotipos de marcas, opiniones de clientes, carritos de la compra y páginas de pago que parecen funcionales. Sin embargo, nunca cumplen lo que prometen. En algunos casos, las víctimas no reciben nada en absoluto. En otros, reciben una imitación barata que vale una fracción del precio anunciado.

En cualquier caso, lo que se vende son tus datos: estas tiendas falsas recopilan tus datos de pago, direcciones de facturación y datos personales, y luego los revenden en mercados clandestinos o los utilizan directamente para cometer fraudes de identidad.

La magnitud del problema se ha disparado. Según datos recientes de inteligencia sobre amenazas, las estafas relacionadas con tiendas online falsas aumentaron un 790 % en el primer trimestre de 2025 en comparación con el mismo periodo del año anterior, impulsadas en parte por la incertidumbre económica en torno a los aranceles comerciales, que empuja a los consumidores hacia alternativas más económicas.

Solo durante la temporada navideña de 2024, los investigadores identificaron más de 80 000 tiendas falsas, muchas de las cuales desaparecieron o cambiaron de nombre en cuestión de días. Los datos de telemetría del sector recopilados a finales de 2025 revelaron que las tiendas falsas representaban el 65 % de todas las amenazas bloqueadas en las redes sociales, YouTube Facebook YouTube principales plataformas de lanzamiento.

Estas operaciones están cada vez más industrializadas. Unos investigadores han documentado recientemente «FraudWear», una campaña coordinada en la que participan más de 30 000 tiendas fraudulentas que se hacen pasar por más de 350 marcas de moda de todo el mundo.

Otra investigación sacó a la luz BogusBazaar, una red de tipo franquicia en la que un equipo central se encargaba del mantenimiento de los servidores, la gestión de pagos y la infraestructura de plantillas, mientras que operadores descentralizados creaban tiendas individuales sobre esa base. Esa red ha procesado más de un millón de pedidos a través de 75 000 dominios desde 2021.

Las tiendas falsas tienen éxito porque se aprovechan de comportamientos habituales de los compradores: hacer clic en anuncios, seguir los resultados de búsqueda y llegar a sitios web con un aspecto muy cuidado. A esto le añaden presión psicológica mediante ofertas por tiempo limitado, contadores de tiempo y avisos de que las existencias están a punto de agotarse.

El mismo local, nombres diferentes

Al investigar dominios de comercio electrónico sospechosos, identificamos un grupo de más de 20 000 sitios web que compartían patrones de infraestructura comunes.

La mayoría utilizó el dominio de nivel superior (TLD) .shop, que se ha convertido en uno de los favoritos de los estafadores gracias a sus bajas tarifas de registro y a su nombre, que parece fiable. La extensión .shop figura ahora entre los principales TLD asociados al spam y a actividades maliciosas, según los datos de seguridad del correo electrónico de Cloudflare.

Al analizar el código fuente de la página, se descubrió qué es lo que une a estos sitios web. Todos funcionan con WordPress y cuentan con la tecnología de Sellvia, una plataforma de comercio electrónico legítima con sede en EE. UU. que permite a los usuarios crear rápidamente una tienda de dropshipping con plantillas ya preparadas, catálogos de productos y procesamiento de pagos.

Las páginas web reutilizan las plantillas de Sellvia y obtienen las imágenes de los productos de su red. Las seis plantillas «diferentes» que hemos observado no son más que dos plantillas básicas con variaciones estéticas. A continuación se muestran algunos ejemplos, presentados por pares para ilustrar cómo la misma plantilla aparece bajo marcas completamente diferentes.

Imagen izquierdaImagen derecha
Imagen izquierdaImagen derecha
Imagen izquierdaImagen derecha
Imagen izquierdaImagen derecha
Imagen izquierdaImagen derecha
Imagen izquierdaImagen derecha

20 000 dominios, 36 direcciones IP

Más allá de las similitudes visuales, estas tiendas falsas comparten una infraestructura común. Los más de 20 000 dominios apuntan a un conjunto de tan solo 36 direcciones IP.

Ese nivel de concentración no es habitual entre los comerciantes online legítimos. Es un rasgo característico de las operaciones de fraude a gran escala, en las que un grupo gestiona los servidores y las plantillas, mientras que operadores individuales crean dominios sobre esa base.

Gran parte de esta actividad se concentra en un pequeño número de rangos de direcciones IP, entre los que se incluyen bloques de los rangos 207.244.x.x y 23.105.x.x. Esta concentración apunta a una preferencia por determinados proveedores de alojamiento y a una configuración diseñada para la rapidez: crear un dominio, aplicar una plantilla y ponerlo en línea.

Esto refleja el modelo de franquicia que se observa en otras redes de tiendas falsas. Un grupo central se encarga de gestionar los servidores, las plantillas y la configuración de los pagos, mientras que los operadores registran los dominios y crean las tiendas en línea. Cuando un sitio web es marcado como sospechoso o retirado, otro ocupa su lugar.

Pero esa misma concentración de servidores también supone un punto débil. Basta con inutilizar un pequeño número de servidores para dejar fuera de servicio a miles de sitios web.

Cómo protegerse de las tiendas falsas

Estas tiendas falsas no son negocios independientes. Forman parte de grandes operaciones repetitivas diseñadas para parecer convincentes, actuar con rapidez y desaparecer con la misma rapidez.

Si un sitio web te resulta desconocido, te da la impresión de que te están metiendo prisa o parece demasiado bueno para ser verdad, trátalo como tal. Unos segundos más dedicados a comprobarlo pueden evitar que acabes entregando tu dinero y tus datos a los ciberdelincuentes.

  • Utiliza la protección del navegador. Herramientas como Malwarebytes Browser Guard pueden bloquear sitios web fraudulentos conocidos antes de que llegues a la página de pago.
  • Comprueba bien el dominio. Ten cuidado con las terminaciones poco habituales, como .shop, .top, .store y .xyz, sobre todo si van acompañadas de nombres genéricos que suenan a marca. Si nunca has oído hablar del minorista, esa es tu primera señal de alerta.
  • Desconfía de los grandes descuentos. Si un artículo está agotado en todas partes pero se vende con un gran descuento en una página web desconocida, es una trampa.
  • Ten cuidado con las tiendas que copian y pegan. Si varios sitios web tienen diseños, imágenes de productos y banners idénticos, pero con nombres diferentes, es probable que estén utilizando la misma plantilla. Las tiendas legítimas no funcionan así.
  • Busca opiniones independientes. Busca el nombre de la tienda junto con términos como «opinión» o «estafa». Si los únicos resultados son la propia página web, eso ya te da una pista.
  • No hagas caso omiso de tus instintos. Si algo te parece sospechoso, detente. No introduzcas tus datos de pago solo para «ver qué pasa».
  • Utiliza métodos de pago más seguros. Las tarjetas de crédito ofrecen mayor protección que las de débito. Las tarjetas virtuales o los servicios de pago pueden añadir una capa adicional de seguridad entre tus datos y el vendedor.

Consejo de experto: Malwarebytes bloquea estos dominios por ser fraudulentos.

Indicadores de compromiso (IOC)

Direcciones IP

  • 108.59.1.151
  • 108,59,12,118
  • 108,59,14,13
  • 108,59,8,97
  • 108.62.0.220
  • 108,62,116,82
  • 108,62,117,45
  • 162.210.195.105
  • 162.210.195.113
  • 162.210.198.37
  • 162.210.199.12
  • 162.210.199.183
  • 162.210.199.235
  • 192.96.200.81
  • 198.7.58.168
  • 198.7.58.87
  • 199.115.115.2
  • 207.244.102.13
  • 207.244.109.109
  • 207.244.126.106
  • 207.244.126.19
  • 207.244.126.21
  • 207.244.67.158
  • 207.244.69.201
  • 207.244.71.143
  • 207.244.89.198
  • 207.244.91.203
  • 23,105,160,43
  • 23.105.172.14
  • 23/105/8/15
  • 23/105/8/17
  • 23/105/8/19
  • 23/82/11/26
  • 23,82,13,161
  • 23,82,13,34
  • 5,79,69,45

No sólo informamos de las estafas, sino que ayudamos a detectarlas.

Los riesgos de ciberseguridad nunca deben ir más allá de un titular. Si algo te parece sospechoso, comprueba si se trata de una estafa con Malwarebytes Guard. Envía una captura de pantalla, pega el contenido sospechoso o comparte un enlace, texto o número de teléfono, y te diremos si se trata de una estafa o es legítimo. Disponible con Malwarebytes Premium para todos tus dispositivos y en la Malwarebytes para iOS Android.

Acerca del autor

Stefan Dasic

Stefan Dasic

Apasionado de las soluciones antivirus, Stefan ha participado desde muy joven en pruebas de malware y control de calidad de productos antivirus. Como parte del equipo de Malwarebytes , Stefan se dedica a proteger a los clientes y garantizar su seguridad.

ÚLTIMOS ARTÍCULOS

Bichos
Manzana

Apple corrige un fallo en WebKit que podía permitir a los sitios web acceder a tus datos

Marzo 18, 2026

Apple ha lanzado una actualización de seguridad en segundo plano que corrige de forma silenciosa una vulnerabilidad de WebKit (CVE-2026-20643).

Estafas
Página web falsa de «Pudgy World»

La página web falsa «Pudgy World» roba tus contraseñas de criptomonedas

Marzo 17, 2026

El sitio web de phishing no está vinculado a Igloo Inc ni a Pudgy Penguins, sino que está diseñado para atraer a los fans y robarles sus contraseñas de criptomonedas.

Móvil
Un caballo de Troya sobre ruedas irrumpe en la pantalla de un smartphone.

Google toma medidas contra Android que abusan de las funciones de accesibilidad

Marzo 17, 2026

El malware lleva años haciendo un uso indebido de las funciones de accesibilidad Android. Google acaba de ponerle las cosas mucho más difíciles.

Icono de colaborador

Colaboradores

Icono del Centro de Amenazas

Centro de amenazas

Icono Podcasts

Podcast

Icono del glosario

Glosario

Icono de estafa

Estafas