Un nuevo tipo de estafa digital está afectando a usuarios de PayPal mediante una estrategia que, a diferencia de las campañas tradicionales de phishing, utiliza el propio sistema de correos electrónicos legítimos de la plataforma para engañar a las víctimas.
Este ataque, que ya ha alcanzado a miles de destinatarios en las últimas semanas, tiene como objetivo el robo de credenciales y el acceso remoto a los dispositivos de los usuarios. El esquema ha logrado eludir los filtros antispam de la mayoría de los proveedores de correo electrónico al estar respaldado por el dominio oficial de PayPal.
Cómo es el ciberataque que afecta a los usuarios de PayPal
Según BleepingComputer, el engaño comienza con un correo electrónico que aparenta ser una confirmación legítima de PayPal. En él, se informa que el usuario ha añadido una nueva dirección de envío a su cuenta, junto con un mensaje que simula la confirmación de una compra costosa—generalmente un dispositivo de alto valor como un MacBook M4 Max de 1TB.
El correo incluye un número de teléfono que aparenta ser de asistencia al cliente, y pide que se llame de inmediato si la compra no fue autorizada.
El mensaje llega desde la dirección “service@paypal.com”, el mismo correo que PayPal utiliza para sus notificaciones oficiales. Esto lo convierte en una de las formas de phishing más difíciles de detectar, ya que supera la verificación DKIM y no presenta errores gramaticales ni ortográficos evidentes. Incluso las direcciones de correo que no tienen cuentas vinculadas a PayPal han comenzado a recibir estos mensajes, lo que sugiere un uso masivo de listas de distribución automatizadas.
La clave de este engaño está en la función de “dirección de regalo” que PayPal introdujo para facilitar envíos a múltiples ubicaciones sin necesidad de modificar el perfil principal. Aunque esta función busca ofrecer comodidad al usuario, ha sido manipulada por los atacantes para emitir correos electrónicos completamente legítimos.
Los ciberdelincuentes acceden a una cuenta de PayPal—ya sea propia o hackeada—y añaden una dirección de envío adicional. Esta acción dispara automáticamente un correo de confirmación enviado desde el sistema de PayPal. Luego, mediante el uso de reglas de reenvío automático o listas de correo en Microsoft 365, ese correo termina en manos de potenciales víctimas. Para amplificar la urgencia, los atacantes incluyen un mensaje personalizado dentro del campo de dirección de regalo, advirtiendo de una compra sospechosa e instando a llamar de inmediato.
Este método evita el uso de dominios falsos o parecidos (como “paypall.com” o “paypal-security.com”) que solían ser característicos del phishing. Al provenir directamente del sistema de PayPal, el mensaje no solo luce legítimo, sino que también evade las defensas tradicionales de los proveedores de correo.
Qué ocurre si se llama al número
El número de teléfono provisto en el mensaje no dirige a ningún centro de soporte oficial. Al llamar, una grabación automática afirma que se ha contactado al servicio de atención al cliente de PayPal. Luego, un supuesto operador entra en escena y solicita datos personales. En la mayoría de los casos, el individuo al otro lado del teléfono se presenta de forma profesional y persuasiva.
El estafador indica que la cuenta fue comprometida y que se deben tomar medidas urgentes para evitar más cargos. Bajo esta excusa, pide al usuario que descargue un software específico desde un sitio externo. Entre los programas solicitados se encuentran herramientas legítimas de asistencia remota como TeamViewer, ConnectWise o AnyDesk.
Una vez que la víctima instala y ejecuta el programa, y concede los permisos necesarios, los atacantes obtienen control total del equipo. Desde allí, pueden acceder a la cuenta de PayPal, robar credenciales, manipular configuraciones para impedir el acceso del verdadero usuario, ingresar a cuentas bancarias y visualizar contraseñas guardadas. Algunos afectados han reportado que los delincuentes observan en tiempo real el ingreso de claves, apoderándose de las cuentas en cuestión de minutos.
Cómo protegerse frente a este tipo de ataques
Expertos recomiendan actuar con calma y nunca confiar en la veracidad de un correo solo por su apariencia o dominio. En caso de recibir una notificación inesperada sobre una compra o un cambio en la cuenta, es fundamental no llamar al número incluido ni hacer clic en enlaces sospechosos.
La mejor práctica es ingresar directamente a la página oficial de PayPal desde un navegador seguro y verificar manualmente los movimientos recientes de la cuenta. Si no se detectan transacciones inusuales ni direcciones agregadas, el correo puede descartarse como parte del esquema fraudulento.
PayPal, por política, no incluye números telefónicos en sus comunicaciones por correo electrónico. Por lo tanto, la sola presencia de un número de asistencia es ya un indicio de estafa. Además, ninguna empresa seria solicitará la instalación de software de control remoto para resolver un problema de cuenta.
ultimas
Criptomonedas: cuál es la cotización de ethereum este 25 de marzo
Ethereum fue lanzada en 2015 por el programador Vitalik Buterin, con la intención de impulsar una herramienta para aplicaciones descentralizadas y colaborativas
Cómo ha cambiado el valor de la criptomoneda bitcoin en el último día
El bitcoin fue creado por Satoshi Nakamoto en el 2008 y lanzado al mercado oficialmente el 3 de enero de 2009 con “el bloque de génesis” de 50 monedas
Glosario de tecnología: qué es un hardware de procesamiento
Conocer el significado de nuevas palabras ayudará a incrementar el conocimiento y vocabulario por igual
Si tienes un celular Android, actualízalo: Google ha lanzado cuatro nuevas funciones
Con estas nuevas herramientas será posible tener una mejor experiencia al momento de hacer compras o de compartir la ubicación con familiares
Qué hacer si hackearon tu cuenta de Instagram
Si alguien tomó el control de tu cuenta, no todo está perdido. Desde enlaces de inicio de sesión hasta verificación de identidad, estos son los pasos oficiales para recuperarla
