Si has recibido un email diciendo que tu suscripción a Norton se renueva por 349,99 € y solo tienes que llamar a un número para cancelarla, respira: es una factura falsa de suscripción. El phishing de Norton y el phishing de McAfee funcionan igual desde hace años. Te mandan una factura no solicitada por un antivirus que nunca compraste, con una cifra lo bastante alta para asustar y un teléfono de "soporte" que en realidad es la trampa. La renovación falsa de antivirus no busca que pagues online, sino que descuelgues el teléfono. Ahí empieza el problema de verdad. Te explicamos cómo reconocerla, qué hacen los estafadores cuando llamas y qué hacer si ya has picado.
Por qué usan justo a Norton y McAfee
Son marcas que casi todo el mundo reconoce y asocia con "pago anual que se renueva solo". Ese es el gancho perfecto. Nadie recuerda con exactitud cuándo caduca su antivirus, así que una factura no solicitada con el logo de Gen Digital (la empresa matriz de Norton y Avast) o de McAfee genera duda inmediata.
Los importes suelen moverse en torno a los 300-500 €, según lo que se ve reportado en foros de seguridad y avisos oficiales. La cifra no es casual: es demasiado dinero para ignorarlo, pero no tan absurda como para descartarla de un vistazo. También aparecen variantes con Geek Squad (el soporte técnico de Best Buy), PayPal o incluso "Windows Defender Pro", que ni siquiera existe como producto de pago.
El objetivo real no es el cobro. Es que llames al número que aparece en el PDF adjunto o en el cuerpo del correo. Es una modalidad de vishing (phishing por voz) disfrazada de administración contable.
Cómo es el email por dentro
La renovación falsa de antivirus tiene un patrón bastante fijo. Reconocer estas piezas te ahorra el susto:
- Remitente disfrazado: el nombre visible pone "Norton Team" o "McAfee Billing", pero la dirección real es un Gmail, un Outlook o un dominio raro tipo norton-invoice-support.info.
- Número de factura y de pedido inventados: largos, con guiones, para parecer un albarán legítimo.
- Ventana de cancelación urgente: "tienes 24 horas para llamar o el cargo será definitivo". La prisa es siempre señal de estafa.
- Cero enlaces, todo teléfono: a diferencia del phishing bancario clásico, aquí no quieren que hagas clic. Quieren tu voz al teléfono.
- PDF adjunto: el importe va dentro de un archivo para saltarse los filtros que analizan el texto del correo. Sí, los filtros de spam decentes también miran dentro de los adjuntos.
Un detalle que delata mucho: el catalán y el castellano de estos correos suelen ser una traducción automática con errores. Frases como "su subscripción ha sido renovado con éxito" cantan bastante.
Qué pasa cuando llamas al número
Aquí está el guion. El falso agente de phishing de Norton te dice que, efectivamente, hay un cargo, pero que puede "cancelarlo y devolverte el dinero". Para ello necesita:
- Que instales un programa de acceso remoto (AnyDesk, TeamViewer, UltraViewer) "para procesar el reembolso".
- Que abras tu banca online mientras ellos ven tu pantalla.
- Que confirmes un "reembolso" en el que, mágicamente, ellos teclean 3.500 € en lugar de 350 € y te dicen que se han equivocado y que les devuelvas la diferencia.
El resto lo puedes imaginar. Con acceso remoto y tu banca abierta, el reembolso nunca llega y el dinero sale en dirección contraria. Esta mecánica es prima hermana de otras campañas que ya hemos visto suplantando marcas de confianza, como la estafa de Amazon Prime falso con emails y llamadas fraudulentas. Cambia el logo, no el método.
Señales de alerta rápidas
| Señal | Qué significa |
|---|---|
| No tienes ese antivirus instalado | No puedes renovar lo que nunca compraste |
| El importe está solo en un PDF adjunto | Táctica para saltar filtros antispam |
| Te piden llamar, no hacer clic | Vishing: quieren manipularte por voz |
| Dominio del remitente no es norton.com ni mcafee.com | Suplantación de marca |
| Prisa extrema ("24h", "cargo definitivo") | Ingeniería social clásica |
Regla práctica: ninguna empresa de seguridad legítima te pide instalar software de control remoto para devolverte dinero. Nunca. Si alguien te lo pide, cuelga.
Qué hacer si ya has picado
Actuar rápido reduce el daño. En orden:
- Corta el acceso remoto: desinstala AnyDesk/TeamViewer y apaga el wifi si estás en mitad de la llamada.
- Llama a tu banco por el número oficial (el del reverso de tu tarjeta) y bloquea tarjetas y transferencias.
- Cambia contraseñas desde otro dispositivo limpio, empezando por email y banca.
- Comprueba si tus datos están expuestos en Have I Been Pwned.
- Analiza el equipo con un antivirus de verdad y, si tocaron mucho, considera restaurar el sistema.
- Denuncia ante la Policía Nacional o la Guardia Civil (Grupo de Delitos Telemáticos). El INCIBE ofrece ayuda gratuita en el teléfono 017.
Si te da por analizar el adjunto antes de nada, súbelo a VirusTotal sin abrirlo. Y no descartes que la trampa venga por otra vía: los documentos ofimáticos también son un vector habitual, como explicamos en virus de macros en documentos Office. Si además te preocupa cuánta información tuya circula por ahí, revisar tu huella digital en internet es un buen complemento.
Marco legal: no estás obligado a pagar nada
Una factura falsa de suscripción no genera ninguna obligación de pago. En España, el artículo 66 quáter de la Ley General para la Defensa de los Consumidores y Usuarios regula el suministro no solicitado: si te reclaman algo que no pediste, no tienes que pagar ni justificar tu silencio. La suplantación de marca, además, encaja en el delito de estafa del Código Penal.
Para las empresas, el RGPD y la directiva NIS2 obligan a notificar incidentes que afecten a datos personales. Si el phishing de McAfee llega a los buzones corporativos y alguien pica, el incidente puede tener obligaciones de reporte. Mantener filtros y formación no es opcional en ese contexto.
Preguntas frecuentes
¿Cómo sé si mi suscripción de Norton es real o falsa?
Entra directamente a tu cuenta escribiendo norton.com en el navegador, nunca desde el email. Ahí ves tus suscripciones reales y sus renovaciones. Si en el email el remitente no acaba en @norton.com y te piden llamar por teléfono, es falso.
He llamado al número pero colgué antes de dar datos, ¿estoy en peligro?
Si no instalaste nada ni diste datos bancarios, el riesgo es bajo. Bloquea ese número, no vuelvas a llamar y vigila tus cuentas unos días. Que tengan tu teléfono solo significa que puede que insistan.
¿Por qué recibo estos emails si nunca he comprado ese antivirus?
Tu correo forma parte de listas filtradas en filtraciones de datos y se envían millones de correos al azar. No es personal ni indica que te hayan hackeado. Un filtro antispam con IA como MataSpam frena la mayoría antes de que lleguen.
¿Denunciar sirve de algo si los estafadores están en el extranjero?
Sí. Aunque la recuperación del dinero es difícil, las denuncias alimentan investigaciones que cruzan casos y permiten bloquear cuentas mula en España. El INCIBE (017) además te asesora gratis sobre los pasos concretos.
¿Un antivirus de pago me protege de estos correos?
Parcialmente. Un antivirus vigila archivos, pero este ataque va contra tu criterio, no contra tu ordenador. La protección real es un buen filtro de correo y saber reconocer las señales. La tecnología ayuda; el sentido común remata.
El siguiente paso
Coge el email sospechoso que tengas ahora mismo en la bandeja, mira la dirección real del remitente (no el nombre visible) y, si no acaba en el dominio oficial de la marca, márcalo como spam y bórralo sin abrir el adjunto. Y si quieres que estos correos ni siquiera lleguen a molestarte, deja que un filtro con IA los intercepte por ti. Tienes más casos analizados en el blog de guías prácticas para seguir afinando el olfato.


