PayPal está siendo utilizado en una nueva estafa por correo electrónico que simula alertas de compra para engañar a los usuarios y hacerles creer que se ha realizado una transacción con su cuenta.
Los atacantes explotan una función legítima de la plataforma y logran eludir los filtros de seguridad y antispam de varios proveedores de correo, lo que aumenta la probabilidad de que las notificaciones fraudulentas lleguen a las bandejas de entrada de los usuarios.
Cómo es la estafa que está afectando a usuarios de PayPal
Investigadores de Bleeping Computer han identificado una campaña que aprovecha el sistema de suscripciones de PayPal, diseñado para que los comerciantes gestionen pagos recurrentes. A través de este mecanismo, los delincuentes envían correos que parecen ser notificaciones reales de movimientos o compras en la cuenta.
El asunto de estos mensajes suele indicar la cancelación de un pago automático, una referencia que no suele generar sospecha entre quienes usan suscripciones.
En el cuerpo del correo aparece una sección identificada como “URL de atención al cliente” donde los estafadores incluyen un texto fraudulento que informa sobre una supuesta compra de alto valor —generalmente dispositivos electrónicos como MacBook, iPhone o equipos Sony— con importes aproximados entre 1.300 y 1.600 dólares.
Ese texto, ubicado en una parte técnica del mensaje, muestra un dominio, una cifra exacta del supuesto cargo y un número de teléfono para anular o disputar la operación.
Los delincuentes emplean caracteres Unicode para alterar la apariencia del contenido, aumentando la sensación de urgencia y dificultando la detección automática por parte de los filtros de correo.
A diferencia de otros phishing que falsifican remitentes, estos correos se envían desde la dirección oficial “service@paypal.com”, lo que les da mayor verosimilitud.
Los encabezados demuestran que pasan controles habituales como DKIM y SPF y que el servidor remitente corresponde a PayPal —por ejemplo “mx15.slc.paypal.com”—, lo que refuerza la percepción de que la cuenta del usuario podría estar comprometida.
Cuál es el objetivo con esta modalidad de ataque
El objetivo principal es provocar una reacción rápida y emotiva en la víctima; al simular una compra de gran importe se busca que el usuario actúe sin verificar la información.
El número incluido en el mensaje no pertenece al soporte de PayPal, sino a los estafadores, que prometen anular la supuesta operación para ganarse la confianza del afectado.
En la llamada, los atacantes solicitan datos personales y bancarios alegando que así cancelarán la transacción o recuperarán el dinero. En ocasiones intentan que la víctima instale software con el pretexto de verificar la cuenta, lo que puede conducir al robo de identidad o a la sustracción de fondos.
Cómo prevenir caer en este engaño
PayPal y expertos en seguridad recomiendan ante todo la precaución y la educación en buenas prácticas. No hay que llamar a los números que aparecen en correos sospechosos ni atender solicitudes urgentes sin verificar su origen.
Ante la menor duda, conviene acceder a PayPal únicamente por la app oficial o escribiendo la dirección en el navegador y comprobar si existe algún cargo real en la cuenta.
PayPal asegura que está corrigiendo las vulnerabilidades que permitieron explotar su sistema de suscripciones y recuerda que cualquier consulta debe resolverse por los canales oficiales de la compañía; una comunicación legítima no solicitará datos personales por correos inesperados ni teléfonos externos.
Activar notificaciones móviles y revisar periódicamente los movimientos de la cuenta ayuda a detectar actividades irregulares a tiempo y reduce las posibilidades de éxito de este tipo de campañas.
