PayPal se convierte en el foco de una nueva estafa. Una versión más de ataques de phishing a través de correo electrónico que busca llamar la atención de los usuarios con un mensaje de alerta, asegurando que se hizo una compra con esa cuenta.
Esta estafa se aprovecha de una función original de la plataforma y consigue superar los filtros de seguridad y antispam de los principales proveedores de correo electrónico, lo que eleva el riesgo de engaño para los usuarios.
Cómo es la estafa que está afectando a usuarios de PayPal
Investigadores de Bleeping Computer han detectado una campaña de fraude que explota el sistema de suscripciones de PayPal, una función legítima que la plataforma ideó para que los comerciantes puedan gestionar pagos recurrentes de sus clientes.
Mediante este sistema, los ciberdelincuentes logran enviar, desde los propios servidores de la aplicación, correos electrónicos que aparentan ser notificaciones de compras o de movimientos en cuentas de usuario.
El mensaje que recibe la víctima suele tener como asunto la cancelación de un pago automático, un motivo que no genera sospechas en quienes emplean el sistema de suscripciones.
El cuerpo del correo incluye un apartado denominado URL de atención al cliente, donde los atacantes insertan un texto fraudulento que informa sobre la realización de una compra, normalmente de productos electrónicos de alto valor —MacBook, iPhone, dispositivos Sony— por sumas entre 1.300 y 1.600 dólares.
Este texto, situado en un apartado técnico del mensaje, muestra el nombre de un dominio, una cifra precisa como supuesto importe de la transacción y un número de teléfono para anular o disputar el movimiento.
Los delincuentes recurren a caracteres Unicode para alterar la apariencia del mensaje, potenciando el efecto de alarma y dificultando la identificación automática del contenido malicioso por parte de los filtros de los proveedores de correo electrónico.
A diferencia de otros intentos de phishing tradicionales que utilizan herramientas para falsificar remitentes, estos correos llegan a los usuarios desde la genuina dirección oficial de PayPal: “service@paypal.com”.
Los encabezados de estos mensajes demuestran que han pasado los controles de seguridad estándar, como DKIM y SPF, y que el servidor responsable del envío pertenece realmente a la empresa californiana, concretamente “mx15.slc.paypal.com”. Esto provoca un impacto psicológico mayor, ya que los usuarios se ven enfrentados a la posibilidad real de que su cuenta haya sido comprometida.
Cuál es el objetivo con esta modalidad de ataque
La finalidad de los estafadores es provocar una reacción rápida y emocional en la víctima. El correo apela al miedo y al desconcierto; al simular una compra de gran valor, empuja a los usuarios a buscar una solución inmediata.
El número telefónico incluido en el mensaje no corresponde al soporte de PayPal, sino a los propios atacantes, quienes esperan cautivar a la víctima con la promesa de revertir la falsa operación.
Durante la llamada, los agresores suelen solicitar información personal y datos bancarios alegando que así cancelarán la transacción o recuperarán el dinero. En ocasiones, intentan inducir la instalación de software malicioso con el pretexto de verificación de cuenta o solución de problemas, abriendo la puerta a un robo de identidad o sustracción de fondos.
Cómo prevenir caer en este engaño
Tanto PayPal como investigadores de seguridad digital insisten en la importancia de la prevención y la educación en prácticas seguras. La primera instrucción para los usuarios es nunca llamar a los teléfonos indicados en este tipo de correos y desconfiar de cualquier comunicación que solicite intervención urgente en relación con falsas compras.
Frente a la mínima sospecha, se recomienda iniciar sesión en PayPal por medios directos —navegador o app oficial— y comprobar si existe algún cargo real en la cuenta.
PayPal ha informado que está mitigando las vías técnicas que han permitido la explotación de su sistema de suscripciones. Al mismo tiempo, recuerda que cualquier duda debe resolverse por los canales de atención disponibles en su plataforma y que ninguna operativa legítima implicará la solicitud de información personal a través de correos inesperados o números externos a la compañía.
La reiteración de medidas como activar notificaciones móviles y revisar periódicamente los movimientos en la cuenta refuerza la seguridad individual y dificulta el éxito de esta y futuras campañas similares.
Últimas Noticias
Dell y Lenovo evalúan volver a 8 GB de RAM en laptops de gama media
El aumento en el costo de la memoria DDR5 también afecta al segmento premium de computadoras portátiles
Cambió la forma de hacer compras en internet, ahora usan apps como Instagram para ahorrar en Navidad
Diferentes generaciones enfrentan la Navidad con estrategias de compra renovadas: boomers optan por la calidad, millennials prefieren experiencias y la Generación Z experimenta frustración digital
Recibí un código de verificación que no había solicitado, WhatsApp revela qué hacer para evitar estafas
Compartir este número por error o engaño permite que otra persona suplante la identidad digital, al tener en su poder datos personales como contactos, fotos y archivos sensibles
Perder el trabajo de tus sueños por mala conexión a internet o PC, es una realidad: las videollamadas son el riesgo
Un estudio reveló que una simple congelación de imagen o un corte de audio puede reducir las posibilidades de conseguir la libertad condicional o la acceder a un empleo
SAM Audio, la nueva herramienta profesional de Meta para amantes del sonido y la edición, tiene IA y es gratis
Los usuarios pueden subir a la plataforma SAM Audio un video de su banda favorita y aislar elementos como la guitarra o la voz
