PayPal se convierte en el foco de una nueva estafa. Una versión más de ataques de phishing a través de correo electrónico que busca llamar la atención de los usuarios con un mensaje de alerta, asegurando que se hizo una compra con esa cuenta.
Esta estafa se aprovecha de una función original de la plataforma y consigue superar los filtros de seguridad y antispam de los principales proveedores de correo electrónico, lo que eleva el riesgo de engaño para los usuarios.
Cómo es la estafa que está afectando a usuarios de PayPal
Investigadores de Bleeping Computer han detectado una campaña de fraude que explota el sistema de suscripciones de PayPal, una función legítima que la plataforma ideó para que los comerciantes puedan gestionar pagos recurrentes de sus clientes.
Mediante este sistema, los ciberdelincuentes logran enviar, desde los propios servidores de la aplicación, correos electrónicos que aparentan ser notificaciones de compras o de movimientos en cuentas de usuario.
El mensaje que recibe la víctima suele tener como asunto la cancelación de un pago automático, un motivo que no genera sospechas en quienes emplean el sistema de suscripciones.
El cuerpo del correo incluye un apartado denominado URL de atención al cliente, donde los atacantes insertan un texto fraudulento que informa sobre la realización de una compra, normalmente de productos electrónicos de alto valor —MacBook, iPhone, dispositivos Sony— por sumas entre 1.300 y 1.600 dólares.
Este texto, situado en un apartado técnico del mensaje, muestra el nombre de un dominio, una cifra precisa como supuesto importe de la transacción y un número de teléfono para anular o disputar el movimiento.
Los delincuentes recurren a caracteres Unicode para alterar la apariencia del mensaje, potenciando el efecto de alarma y dificultando la identificación automática del contenido malicioso por parte de los filtros de los proveedores de correo electrónico.
A diferencia de otros intentos de phishing tradicionales que utilizan herramientas para falsificar remitentes, estos correos llegan a los usuarios desde la genuina dirección oficial de PayPal: “service@paypal.com”.
Los encabezados de estos mensajes demuestran que han pasado los controles de seguridad estándar, como DKIM y SPF, y que el servidor responsable del envío pertenece realmente a la empresa californiana, concretamente “mx15.slc.paypal.com”. Esto provoca un impacto psicológico mayor, ya que los usuarios se ven enfrentados a la posibilidad real de que su cuenta haya sido comprometida.
Cuál es el objetivo con esta modalidad de ataque
La finalidad de los estafadores es provocar una reacción rápida y emocional en la víctima. El correo apela al miedo y al desconcierto; al simular una compra de gran valor, empuja a los usuarios a buscar una solución inmediata.
El número telefónico incluido en el mensaje no corresponde al soporte de PayPal, sino a los propios atacantes, quienes esperan cautivar a la víctima con la promesa de revertir la falsa operación.
Durante la llamada, los agresores suelen solicitar información personal y datos bancarios alegando que así cancelarán la transacción o recuperarán el dinero. En ocasiones, intentan inducir la instalación de software malicioso con el pretexto de verificación de cuenta o solución de problemas, abriendo la puerta a un robo de identidad o sustracción de fondos.
Cómo prevenir caer en este engaño
Tanto PayPal como investigadores de seguridad digital insisten en la importancia de la prevención y la educación en prácticas seguras. La primera instrucción para los usuarios es nunca llamar a los teléfonos indicados en este tipo de correos y desconfiar de cualquier comunicación que solicite intervención urgente en relación con falsas compras.
Frente a la mínima sospecha, se recomienda iniciar sesión en PayPal por medios directos —navegador o app oficial— y comprobar si existe algún cargo real en la cuenta.
PayPal ha informado que está mitigando las vías técnicas que han permitido la explotación de su sistema de suscripciones. Al mismo tiempo, recuerda que cualquier duda debe resolverse por los canales de atención disponibles en su plataforma y que ninguna operativa legítima implicará la solicitud de información personal a través de correos inesperados o números externos a la compañía.
La reiteración de medidas como activar notificaciones móviles y revisar periódicamente los movimientos en la cuenta refuerza la seguridad individual y dificulta el éxito de esta y futuras campañas similares.
Últimas Noticias
Así puedes limpiar la pantalla de un televisor sin dañarla: errores comunes y qué productos usar
El alcohol, los limpiavidrios y aplicar líquidos directamente sobre la pantalla figuran entre los errores más comunes al momento de limpiar un Smart TV
Registrar tarjetas ya no debería quitarte tiempo: la función de Apple Wallet que llega al iPhone
La nueva función, disponible en iOS 26, evita escribir manualmente los datos de pago, agilizando compras y formularios
Stephen Hawking y su advertencia sobre la IA que revive en 2026: “es lo mejor o peor que le ha pasado a la humanidad”
En 2014, Hawking y otros académicos analizaron la película Transcendence: Identidad virtual, protagonizada por Johnny Depp y lanzaron sus predicciones sobre la tecnología
El celular tendría los días contados: así cambiará la forma de interactuar, según Mark Zuckerberg
El CEO de Meta aseguró que las gafas inteligentes con inteligencia artificial podrían convertirse en el próximo gran dispositivo de uso masivo
iPhone 18 Pro vs. iPhone Fold: filtran las diferencias clave en sus cámaras para 2026
El iPhone 18 Pro podría sumar apertura variable en su cámara principal para adaptarse mejor a diferentes condiciones de luz, una característica ausente en el modelo plegable
