Un nuevo tipo de estafa digital está afectando a usuarios de PayPal mediante una estrategia que, a diferencia de las campañas tradicionales de phishing, utiliza el propio sistema de correos electrónicos legítimos de la plataforma para engañar a las víctimas.
Este ataque, que ya ha alcanzado a miles de destinatarios en las últimas semanas, tiene como objetivo el robo de credenciales y el acceso remoto a los dispositivos de los usuarios. El esquema ha logrado eludir los filtros antispam de la mayoría de los proveedores de correo electrónico al estar respaldado por el dominio oficial de PayPal.
Cómo es el ciberataque que afecta a los usuarios de PayPal
Según BleepingComputer, el engaño comienza con un correo electrónico que aparenta ser una confirmación legítima de PayPal. En él, se informa que el usuario ha añadido una nueva dirección de envío a su cuenta, junto con un mensaje que simula la confirmación de una compra costosa—generalmente un dispositivo de alto valor como un MacBook M4 Max de 1TB.
El correo incluye un número de teléfono que aparenta ser de asistencia al cliente, y pide que se llame de inmediato si la compra no fue autorizada.
El mensaje llega desde la dirección “service@paypal.com”, el mismo correo que PayPal utiliza para sus notificaciones oficiales. Esto lo convierte en una de las formas de phishing más difíciles de detectar, ya que supera la verificación DKIM y no presenta errores gramaticales ni ortográficos evidentes. Incluso las direcciones de correo que no tienen cuentas vinculadas a PayPal han comenzado a recibir estos mensajes, lo que sugiere un uso masivo de listas de distribución automatizadas.
La clave de este engaño está en la función de “dirección de regalo” que PayPal introdujo para facilitar envíos a múltiples ubicaciones sin necesidad de modificar el perfil principal. Aunque esta función busca ofrecer comodidad al usuario, ha sido manipulada por los atacantes para emitir correos electrónicos completamente legítimos.
Los ciberdelincuentes acceden a una cuenta de PayPal—ya sea propia o hackeada—y añaden una dirección de envío adicional. Esta acción dispara automáticamente un correo de confirmación enviado desde el sistema de PayPal. Luego, mediante el uso de reglas de reenvío automático o listas de correo en Microsoft 365, ese correo termina en manos de potenciales víctimas. Para amplificar la urgencia, los atacantes incluyen un mensaje personalizado dentro del campo de dirección de regalo, advirtiendo de una compra sospechosa e instando a llamar de inmediato.
Este método evita el uso de dominios falsos o parecidos (como “paypall.com” o “paypal-security.com”) que solían ser característicos del phishing. Al provenir directamente del sistema de PayPal, el mensaje no solo luce legítimo, sino que también evade las defensas tradicionales de los proveedores de correo.
Qué ocurre si se llama al número
El número de teléfono provisto en el mensaje no dirige a ningún centro de soporte oficial. Al llamar, una grabación automática afirma que se ha contactado al servicio de atención al cliente de PayPal. Luego, un supuesto operador entra en escena y solicita datos personales. En la mayoría de los casos, el individuo al otro lado del teléfono se presenta de forma profesional y persuasiva.
El estafador indica que la cuenta fue comprometida y que se deben tomar medidas urgentes para evitar más cargos. Bajo esta excusa, pide al usuario que descargue un software específico desde un sitio externo. Entre los programas solicitados se encuentran herramientas legítimas de asistencia remota como TeamViewer, ConnectWise o AnyDesk.
Una vez que la víctima instala y ejecuta el programa, y concede los permisos necesarios, los atacantes obtienen control total del equipo. Desde allí, pueden acceder a la cuenta de PayPal, robar credenciales, manipular configuraciones para impedir el acceso del verdadero usuario, ingresar a cuentas bancarias y visualizar contraseñas guardadas. Algunos afectados han reportado que los delincuentes observan en tiempo real el ingreso de claves, apoderándose de las cuentas en cuestión de minutos.
Cómo protegerse frente a este tipo de ataques
Expertos recomiendan actuar con calma y nunca confiar en la veracidad de un correo solo por su apariencia o dominio. En caso de recibir una notificación inesperada sobre una compra o un cambio en la cuenta, es fundamental no llamar al número incluido ni hacer clic en enlaces sospechosos.
La mejor práctica es ingresar directamente a la página oficial de PayPal desde un navegador seguro y verificar manualmente los movimientos recientes de la cuenta. Si no se detectan transacciones inusuales ni direcciones agregadas, el correo puede descartarse como parte del esquema fraudulento.
PayPal, por política, no incluye números telefónicos en sus comunicaciones por correo electrónico. Por lo tanto, la sola presencia de un número de asistencia es ya un indicio de estafa. Además, ninguna empresa seria solicitará la instalación de software de control remoto para resolver un problema de cuenta.
Últimas Noticias
Lista de los 10 videos en tendencia este sábado en YouTube Argentina
Descubre quiénes son los artistas que han entrado al ranking con sus nuevos clips
Las series más mencionadas en X hoy: ¿cuáles son y por qué son tendencia?
En la red social de Elon Musk se generan alrededor de 65 millones de tuits y 800 mil búsquedas al día
Top 10 videos más vistos en YouTube Colombia hoy
La plataforma más popular de videos tiene presencia en 104 países y se calcula que cada minuto se suben a la plataforma 500 horas de contenido
Lo mejor de YouTube Chile: lista de los videos del momento
La plataforma ha llegado a revolucionar la forma en la que los internautas consumen contenido y ha funcionado como un trampolín para los artistas
Glosario de tecnología: qué significa IP pública
La tecnología en la vida diaria ha transformado significativamente la forma en que las personas interactúan, trabajan y se entretienen
