PayPal se convierte en el foco de una nueva estafa. Una versión más de ataques de phishing a través de correo electrónico que busca llamar la atención de los usuarios con un mensaje de alerta, asegurando que se hizo una compra con esa cuenta.
Esta estafa se aprovecha de una función original de la plataforma y consigue superar los filtros de seguridad y antispam de los principales proveedores de correo electrónico, lo que eleva el riesgo de engaño para los usuarios.
Cómo es la estafa que está afectando a usuarios de PayPal
Investigadores de Bleeping Computer han detectado una campaña de fraude que explota el sistema de suscripciones de PayPal, una función legítima que la plataforma ideó para que los comerciantes puedan gestionar pagos recurrentes de sus clientes.
Mediante este sistema, los ciberdelincuentes logran enviar, desde los propios servidores de la aplicación, correos electrónicos que aparentan ser notificaciones de compras o de movimientos en cuentas de usuario.
El mensaje que recibe la víctima suele tener como asunto la cancelación de un pago automático, un motivo que no genera sospechas en quienes emplean el sistema de suscripciones.
El cuerpo del correo incluye un apartado denominado URL de atención al cliente, donde los atacantes insertan un texto fraudulento que informa sobre la realización de una compra, normalmente de productos electrónicos de alto valor —MacBook, iPhone, dispositivos Sony— por sumas entre 1.300 y 1.600 dólares.
Este texto, situado en un apartado técnico del mensaje, muestra el nombre de un dominio, una cifra precisa como supuesto importe de la transacción y un número de teléfono para anular o disputar el movimiento.
Los delincuentes recurren a caracteres Unicode para alterar la apariencia del mensaje, potenciando el efecto de alarma y dificultando la identificación automática del contenido malicioso por parte de los filtros de los proveedores de correo electrónico.
A diferencia de otros intentos de phishing tradicionales que utilizan herramientas para falsificar remitentes, estos correos llegan a los usuarios desde la genuina dirección oficial de PayPal: “service@paypal.com”.
Los encabezados de estos mensajes demuestran que han pasado los controles de seguridad estándar, como DKIM y SPF, y que el servidor responsable del envío pertenece realmente a la empresa californiana, concretamente “mx15.slc.paypal.com”. Esto provoca un impacto psicológico mayor, ya que los usuarios se ven enfrentados a la posibilidad real de que su cuenta haya sido comprometida.
Cuál es el objetivo con esta modalidad de ataque
La finalidad de los estafadores es provocar una reacción rápida y emocional en la víctima. El correo apela al miedo y al desconcierto; al simular una compra de gran valor, empuja a los usuarios a buscar una solución inmediata.
El número telefónico incluido en el mensaje no corresponde al soporte de PayPal, sino a los propios atacantes, quienes esperan cautivar a la víctima con la promesa de revertir la falsa operación.
Durante la llamada, los agresores suelen solicitar información personal y datos bancarios alegando que así cancelarán la transacción o recuperarán el dinero. En ocasiones, intentan inducir la instalación de software malicioso con el pretexto de verificación de cuenta o solución de problemas, abriendo la puerta a un robo de identidad o sustracción de fondos.
Cómo prevenir caer en este engaño
Tanto PayPal como investigadores de seguridad digital insisten en la importancia de la prevención y la educación en prácticas seguras. La primera instrucción para los usuarios es nunca llamar a los teléfonos indicados en este tipo de correos y desconfiar de cualquier comunicación que solicite intervención urgente en relación con falsas compras.
Frente a la mínima sospecha, se recomienda iniciar sesión en PayPal por medios directos —navegador o app oficial— y comprobar si existe algún cargo real en la cuenta.
PayPal ha informado que está mitigando las vías técnicas que han permitido la explotación de su sistema de suscripciones. Al mismo tiempo, recuerda que cualquier duda debe resolverse por los canales de atención disponibles en su plataforma y que ninguna operativa legítima implicará la solicitud de información personal a través de correos inesperados o números externos a la compañía.
La reiteración de medidas como activar notificaciones móviles y revisar periódicamente los movimientos en la cuenta refuerza la seguridad individual y dificulta el éxito de esta y futuras campañas similares.
Últimas Noticias
Con la excusa de una emergencia policial, pueden robar tus datos de Amazon, Apple y Meta en 20 minutos
El método de estafa permite a ciberdelincuentes obtener información personal sin orden judicial, aprovechando lagunas legales en grandes empresas
Google crea un botón para buscar imágenes y documentos fácil: + es tu nuevo amigo
La herramienta, ya disponible para usuarios, aplica IA al análisis de archivos, impulsando soluciones prácticas desde un único punto de acceso, mejorando la privacidad y seguridad
Green Day, Shakira y Blessd los líderes en Colombia en consumo de datos durante sus conciertos en 2025: más de 30 terabytes
Los conciertos marcaron un récord con millones de fotos, videos y horas de música que circularon por la red móvil
A Steam llega el primer videojuego hecho completamente con IA: se hizo en tres meses y ya genera rechazo
El juego tiene un estilo similar a Vampire Survivors, lo que ha llevado a que reciba muchas críticas negativas
Borra fácilmente toda la caché de tu Xbox Series S|X: Asistencia Fortnite Battle Royale
Eliminar archivos temporales y liberar espacio en la consola evita errores, bloqueos y lentitud, garantizando una experiencia de juego fluida y sin interrupciones
