Si usas PayPal ten cuidado, está es la nueva estafa que va tras tu dinero y datos

Un nuevo tipo de estafa digital está afectando a usuarios de PayPal mediante una estrategia que, a diferencia de las campañas tradicionales de phishing, utiliza el propio sistema de correos electrónicos legítimos de la plataforma para engañar a las víctimas.

Este ataque, que ya ha alcanzado a miles de destinatarios en las últimas semanas, tiene como objetivo el robo de credenciales y el acceso remoto a los dispositivos de los usuarios. El esquema ha logrado eludir los filtros antispam de la mayoría de los proveedores de correo electrónico al estar respaldado por el dominio oficial de PayPal.

Cómo es el ciberataque que afecta a los usuarios de PayPal

Según BleepingComputer, el engaño comienza con un correo electrónico que aparenta ser una confirmación legítima de PayPal. En él, se informa que el usuario ha añadido una nueva dirección de envío a su cuenta, junto con un mensaje que simula la confirmación de una compra costosa—generalmente un dispositivo de alto valor como un MacBook M4 Max de 1TB.

El correo incluye un número de teléfono que aparenta ser de asistencia al cliente, y pide que se llame de inmediato si la compra no fue autorizada.

El mensaje llega desde la dirección “service@paypal.com”, el mismo correo que PayPal utiliza para sus notificaciones oficiales. Esto lo convierte en una de las formas de phishing más difíciles de detectar, ya que supera la verificación DKIM y no presenta errores gramaticales ni ortográficos evidentes. Incluso las direcciones de correo que no tienen cuentas vinculadas a PayPal han comenzado a recibir estos mensajes, lo que sugiere un uso masivo de listas de distribución automatizadas.

La clave de este engaño está en la función de “dirección de regalo” que PayPal introdujo para facilitar envíos a múltiples ubicaciones sin necesidad de modificar el perfil principal. Aunque esta función busca ofrecer comodidad al usuario, ha sido manipulada por los atacantes para emitir correos electrónicos completamente legítimos.

Los ciberdelincuentes acceden a una cuenta de PayPal—ya sea propia o hackeada—y añaden una dirección de envío adicional. Esta acción dispara automáticamente un correo de confirmación enviado desde el sistema de PayPal. Luego, mediante el uso de reglas de reenvío automático o listas de correo en Microsoft 365, ese correo termina en manos de potenciales víctimas. Para amplificar la urgencia, los atacantes incluyen un mensaje personalizado dentro del campo de dirección de regalo, advirtiendo de una compra sospechosa e instando a llamar de inmediato.

Este método evita el uso de dominios falsos o parecidos (como “paypall.com” o “paypal-security.com”) que solían ser característicos del phishing. Al provenir directamente del sistema de PayPal, el mensaje no solo luce legítimo, sino que también evade las defensas tradicionales de los proveedores de correo.

Qué ocurre si se llama al número

El número de teléfono provisto en el mensaje no dirige a ningún centro de soporte oficial. Al llamar, una grabación automática afirma que se ha contactado al servicio de atención al cliente de PayPal. Luego, un supuesto operador entra en escena y solicita datos personales. En la mayoría de los casos, el individuo al otro lado del teléfono se presenta de forma profesional y persuasiva.

El estafador indica que la cuenta fue comprometida y que se deben tomar medidas urgentes para evitar más cargos. Bajo esta excusa, pide al usuario que descargue un software específico desde un sitio externo. Entre los programas solicitados se encuentran herramientas legítimas de asistencia remota como TeamViewer, ConnectWise o AnyDesk.

Una vez que la víctima instala y ejecuta el programa, y concede los permisos necesarios, los atacantes obtienen control total del equipo. Desde allí, pueden acceder a la cuenta de PayPal, robar credenciales, manipular configuraciones para impedir el acceso del verdadero usuario, ingresar a cuentas bancarias y visualizar contraseñas guardadas. Algunos afectados han reportado que los delincuentes observan en tiempo real el ingreso de claves, apoderándose de las cuentas en cuestión de minutos.

Cómo protegerse frente a este tipo de ataques

Expertos recomiendan actuar con calma y nunca confiar en la veracidad de un correo solo por su apariencia o dominio. En caso de recibir una notificación inesperada sobre una compra o un cambio en la cuenta, es fundamental no llamar al número incluido ni hacer clic en enlaces sospechosos.

La mejor práctica es ingresar directamente a la página oficial de PayPal desde un navegador seguro y verificar manualmente los movimientos recientes de la cuenta. Si no se detectan transacciones inusuales ni direcciones agregadas, el correo puede descartarse como parte del esquema fraudulento.

PayPal, por política, no incluye números telefónicos en sus comunicaciones por correo electrónico. Por lo tanto, la sola presencia de un número de asistencia es ya un indicio de estafa. Además, ninguna empresa seria solicitará la instalación de software de control remoto para resolver un problema de cuenta.