Una nueva modalidad de estafa burla filtros de seguridad en una conocida aplicación de pagos

Una nueva estafa fue reportada en Estados Unidos durante junio de 2025, en la que ciberdelincuentes aprovechan el sistema legítimo de notificaciones de PayPal para enviar correos auténticos con contenido engañoso. El caso fue descrito inicialmente por usuarios en el foro Reddit y luego desarrollado por el periodista especializado Kurt Knutsson, en un artículo publicado el 28 de junio por Fox News.

El esquema se diferencia de los fraudes tradicionales por no utilizar dominios falsos ni errores ortográficos. En cambio, los estafadores utilizan funciones reales de PayPal para provocar que el sistema genere correos desde su dominio oficial. Las víctimas reciben alertas que informan sobre una dirección recientemente agregada a la cuenta o sobre la supuesta ejecución de un pago elevado. En muchos casos, los destinatarios no tienen siquiera una cuenta de PayPal activa.

Este método ha generado preocupación entre expertos en ciberseguridad debido a su capacidad para evadir filtros antispam, al prescindir de enlaces sospechosos y basarse en herramientas legítimas del propio sistema de PayPal. En lugar de redirigir a páginas web fraudulentas, los correos suelen incluir un número telefónico que conecta a la víctima con un falso agente de soporte técnico.

Según Fox News, el método se apoya en funcionalidades del sistema empresarial de PayPal, como el uso de formularios para solicitar dinero o para agregar direcciones de envío. Al introducir un correo electrónico, el sistema envía automáticamente una notificación desde su propio dominio, aun cuando el destinatario no tenga una cuenta activa.

Una vez que el usuario recibe el mensaje y nota que no reconoce la actividad, puede sentirse motivado a reaccionar rápidamente. En algunos casos, los correos incluyen solo texto plano con una advertencia y un número telefónico de contacto, sin enlaces, lo que disminuye el nivel de sospecha. Esto ha permitido que los correos atraviesen filtros de seguridad en servicios como Gmail o Outlook.

Fox News también advierte que, tras el primer contacto, las víctimas que llaman al número proporcionado suelen ser atendidas por supuestos representantes de PayPal, quienes les solicitan verificar su identidad. En ese proceso, les piden instalar software de asistencia remota, que simula ser una herramienta oficial de soporte, pero en realidad otorga a los estafadores acceso completo al dispositivo.

De acuerdo con testimonios publicados en Reddit (r/Scams), el software empleado es una versión modificada de aplicaciones como AnyDesk, personalizada con logotipos de PayPal. Una vez instalada, permite a los atacantes visualizar la pantalla del usuario, manipular archivos y registrar contraseñas.

Capturas compartidas por usuarios muestran que, en algunos casos, el ejecutable lleva nombres relacionados con soporte técnico, lo que refuerza la ilusión de estar tratando con una fuente legítima. Este método no requiere que la víctima entregue voluntariamente sus credenciales, ya que los atacantes pueden obtenerlas mediante el control remoto.

Según el portal especializado BleepingComputer, el uso de estos programas representa una evolución en las tácticas de ingeniería social. La ausencia de enlaces maliciosos evita el rastreo automatizado, y la instalación voluntaria por parte del usuario disminuye las posibilidades de advertencia por parte de antivirus convencionales.

Forbes Tech informó en febrero de 2025 que esta modalidad se apoya en el aprovechamiento de las herramientas de comunicación que PayPal proporciona a sus usuarios empresariales. Estas funciones permiten, por ejemplo, personalizar ciertos campos en notificaciones automáticas generadas por el sistema, sin que ello implique una vulnerabilidad técnica directa.

El reporte de Forbes indica que el riesgo principal radica en la confianza que los usuarios depositan en los mensajes provenientes de dominios oficiales. Como los correos provienen de service@paypal.com se consideran confiables por defecto, tanto por los receptores como por los sistemas antispam.

Además, las notificaciones utilizan un lenguaje directo que advierte sobre una supuesta actividad sospechosa, como un cobro no autorizado. Este tipo de mensajes busca provocar una reacción inmediata sin que el usuario verifique primero si la alerta es real.

PayPal ha publicado en su portal oficial de seguridad que, ante la recepción de mensajes sospechosos, los usuarios deben evitar interactuar con el contenido y no seguir los pasos sugeridos. En lugar de eso, deben ingresar directamente en el sitio o la aplicación oficial para revisar su actividad.

Asimismo, solicita que cualquier mensaje sospechoso sea reenviado a la dirección phishing@paypal.com, donde será evaluado por sus equipos de ciberseguridad. La empresa recuerda que nunca solicita la instalación de aplicaciones de soporte ni el acceso remoto a los dispositivos de los usuarios.

El Centro de Seguridad de PayPal también recomienda la activación de la autenticación en dos pasos (2FA) y el uso de contraseñas únicas gestionadas mediante aplicaciones especializadas. De esta manera, aunque un acceso sea comprometido, no se verá comprometida la seguridad de otras cuentas vinculadas.

Hasta el momento, el Departamento de Justicia de EE.UU. no ha emitido comentarios específicos sobre esta campaña. Sin embargo, la Comisión Federal de Comercio (FTC) ha reiterado en múltiples comunicados que las campañas de phishing constituyen una de las amenazas más frecuentes para consumidores y recomienda reportar los incidentes en el sitio reportfraud.ftc.gov.

Según un informe reciente de Scamadviser publicado en mayo, esta técnica representa una de las formas más efectivas de fraude durante 2025, especialmente por su capacidad para superar filtros de seguridad. La tendencia más creciente, indica el informe, es la suplantación de soporte técnico mediante llamadas telefónicas posteriores al correo inicial.

Especialistas citados en el portal Wired explicaron que este tipo de ataques puede tener consecuencias más amplias que el robo inmediato de datos. Si el dispositivo queda comprometido con malware persistente, los atacantes podrían capturar credenciales de banca en línea, redes corporativas y otras cuentas sensibles incluso semanas después del incidente.

Los expertos coinciden en que las siguientes medidas pueden disminuir significativamente el riesgo:

• No seguir enlaces ni llamar a números telefónicos incluidos en correos no solicitados.
• Verificar directamente en el sitio oficial de PayPal cualquier notificación recibida.
• Utilizar autenticación en dos factores (2FA) en cuentas sensibles.
• Instalar programas antivirus que incluyan protección contra phishing.
• Utilizar gestores de contraseñas para evitar credenciales repetidas.
• Eliminar datos personales de sitios de búsqueda pública mediante servicios especializados.

De acuerdo con CyberGuy Report, estas acciones no solo previenen ataques directos, sino que también dificultan que los ciberdelincuentes seleccionen objetivos a partir de información personal disponible en línea.