Nueva estafa en PayPal, roban cientos de dólares, usan tu suscripción y suplantan tu nombre

PayPal se convierte en el foco de una nueva estafa. Una versión más de ataques de phishing a través de correo electrónico que busca llamar la atención de los usuarios con un mensaje de alerta, asegurando que se hizo una compra con esa cuenta.

Esta estafa se aprovecha de una función original de la plataforma y consigue superar los filtros de seguridad y antispam de los principales proveedores de correo electrónico, lo que eleva el riesgo de engaño para los usuarios.

Cómo es la estafa que está afectando a usuarios de PayPal

Investigadores de Bleeping Computer han detectado una campaña de fraude que explota el sistema de suscripciones de PayPal, una función legítima que la plataforma ideó para que los comerciantes puedan gestionar pagos recurrentes de sus clientes.

Mediante este sistema, los ciberdelincuentes logran enviar, desde los propios servidores de la aplicación, correos electrónicos que aparentan ser notificaciones de compras o de movimientos en cuentas de usuario.

El mensaje que recibe la víctima suele tener como asunto la cancelación de un pago automático, un motivo que no genera sospechas en quienes emplean el sistema de suscripciones.

El cuerpo del correo incluye un apartado denominado URL de atención al cliente, donde los atacantes insertan un texto fraudulento que informa sobre la realización de una compra, normalmente de productos electrónicos de alto valor —MacBook, iPhone, dispositivos Sony— por sumas entre 1.300 y 1.600 dólares.

Este texto, situado en un apartado técnico del mensaje, muestra el nombre de un dominio, una cifra precisa como supuesto importe de la transacción y un número de teléfono para anular o disputar el movimiento.

Los delincuentes recurren a caracteres Unicode para alterar la apariencia del mensaje, potenciando el efecto de alarma y dificultando la identificación automática del contenido malicioso por parte de los filtros de los proveedores de correo electrónico.

A diferencia de otros intentos de phishing tradicionales que utilizan herramientas para falsificar remitentes, estos correos llegan a los usuarios desde la genuina dirección oficial de PayPal: “service@paypal.com”.

Los encabezados de estos mensajes demuestran que han pasado los controles de seguridad estándar, como DKIM y SPF, y que el servidor responsable del envío pertenece realmente a la empresa californiana, concretamente “mx15.slc.paypal.com”. Esto provoca un impacto psicológico mayor, ya que los usuarios se ven enfrentados a la posibilidad real de que su cuenta haya sido comprometida.

Cuál es el objetivo con esta modalidad de ataque

La finalidad de los estafadores es provocar una reacción rápida y emocional en la víctima. El correo apela al miedo y al desconcierto; al simular una compra de gran valor, empuja a los usuarios a buscar una solución inmediata.

El número telefónico incluido en el mensaje no corresponde al soporte de PayPal, sino a los propios atacantes, quienes esperan cautivar a la víctima con la promesa de revertir la falsa operación.

Durante la llamada, los agresores suelen solicitar información personal y datos bancarios alegando que así cancelarán la transacción o recuperarán el dinero. En ocasiones, intentan inducir la instalación de software malicioso con el pretexto de verificación de cuenta o solución de problemas, abriendo la puerta a un robo de identidad o sustracción de fondos.

Cómo prevenir caer en este engaño

Tanto PayPal como investigadores de seguridad digital insisten en la importancia de la prevención y la educación en prácticas seguras. La primera instrucción para los usuarios es nunca llamar a los teléfonos indicados en este tipo de correos y desconfiar de cualquier comunicación que solicite intervención urgente en relación con falsas compras.

Frente a la mínima sospecha, se recomienda iniciar sesión en PayPal por medios directos —navegador o app oficial— y comprobar si existe algún cargo real en la cuenta.

PayPal ha informado que está mitigando las vías técnicas que han permitido la explotación de su sistema de suscripciones. Al mismo tiempo, recuerda que cualquier duda debe resolverse por los canales de atención disponibles en su plataforma y que ninguna operativa legítima implicará la solicitud de información personal a través de correos inesperados o números externos a la compañía.

La reiteración de medidas como activar notificaciones móviles y revisar periódicamente los movimientos en la cuenta refuerza la seguridad individual y dificulta el éxito de esta y futuras campañas similares.