PayPal se convierte en el foco de una nueva estafa. Una versión más de ataques de phishing a través de correo electrónico que busca llamar la atención de los usuarios con un mensaje de alerta, asegurando que se hizo una compra con esa cuenta.
Esta estafa se aprovecha de una función original de la plataforma y consigue superar los filtros de seguridad y antispam de los principales proveedores de correo electrónico, lo que eleva el riesgo de engaño para los usuarios.
Cómo es la estafa que está afectando a usuarios de PayPal
Investigadores de Bleeping Computer han detectado una campaña de fraude que explota el sistema de suscripciones de PayPal, una función legítima que la plataforma ideó para que los comerciantes puedan gestionar pagos recurrentes de sus clientes.
Mediante este sistema, los ciberdelincuentes logran enviar, desde los propios servidores de la aplicación, correos electrónicos que aparentan ser notificaciones de compras o de movimientos en cuentas de usuario.
El mensaje que recibe la víctima suele tener como asunto la cancelación de un pago automático, un motivo que no genera sospechas en quienes emplean el sistema de suscripciones.
El cuerpo del correo incluye un apartado denominado URL de atención al cliente, donde los atacantes insertan un texto fraudulento que informa sobre la realización de una compra, normalmente de productos electrónicos de alto valor —MacBook, iPhone, dispositivos Sony— por sumas entre 1.300 y 1.600 dólares.
Este texto, situado en un apartado técnico del mensaje, muestra el nombre de un dominio, una cifra precisa como supuesto importe de la transacción y un número de teléfono para anular o disputar el movimiento.
Los delincuentes recurren a caracteres Unicode para alterar la apariencia del mensaje, potenciando el efecto de alarma y dificultando la identificación automática del contenido malicioso por parte de los filtros de los proveedores de correo electrónico.
A diferencia de otros intentos de phishing tradicionales que utilizan herramientas para falsificar remitentes, estos correos llegan a los usuarios desde la genuina dirección oficial de PayPal: “service@paypal.com”.
Los encabezados de estos mensajes demuestran que han pasado los controles de seguridad estándar, como DKIM y SPF, y que el servidor responsable del envío pertenece realmente a la empresa californiana, concretamente “mx15.slc.paypal.com”. Esto provoca un impacto psicológico mayor, ya que los usuarios se ven enfrentados a la posibilidad real de que su cuenta haya sido comprometida.
Cuál es el objetivo con esta modalidad de ataque
La finalidad de los estafadores es provocar una reacción rápida y emocional en la víctima. El correo apela al miedo y al desconcierto; al simular una compra de gran valor, empuja a los usuarios a buscar una solución inmediata.
El número telefónico incluido en el mensaje no corresponde al soporte de PayPal, sino a los propios atacantes, quienes esperan cautivar a la víctima con la promesa de revertir la falsa operación.
Durante la llamada, los agresores suelen solicitar información personal y datos bancarios alegando que así cancelarán la transacción o recuperarán el dinero. En ocasiones, intentan inducir la instalación de software malicioso con el pretexto de verificación de cuenta o solución de problemas, abriendo la puerta a un robo de identidad o sustracción de fondos.
Cómo prevenir caer en este engaño
Tanto PayPal como investigadores de seguridad digital insisten en la importancia de la prevención y la educación en prácticas seguras. La primera instrucción para los usuarios es nunca llamar a los teléfonos indicados en este tipo de correos y desconfiar de cualquier comunicación que solicite intervención urgente en relación con falsas compras.
Frente a la mínima sospecha, se recomienda iniciar sesión en PayPal por medios directos —navegador o app oficial— y comprobar si existe algún cargo real en la cuenta.
PayPal ha informado que está mitigando las vías técnicas que han permitido la explotación de su sistema de suscripciones. Al mismo tiempo, recuerda que cualquier duda debe resolverse por los canales de atención disponibles en su plataforma y que ninguna operativa legítima implicará la solicitud de información personal a través de correos inesperados o números externos a la compañía.
La reiteración de medidas como activar notificaciones móviles y revisar periódicamente los movimientos en la cuenta refuerza la seguridad individual y dificulta el éxito de esta y futuras campañas similares.
Últimas Noticias
La primera respuesta que debes dar cuando te llaman de número desconocido: positivo para llamada spam
Los sistemas automáticos de spam utilizan IA para registrar la reacción y duración de cada llamada recibida
Los 18 celulares de Xiaomi que se actualizan a HyperOS 3 desde este 17 de diciembre de 2025
La nueva versión del sistema operativo también llegará a teléfonos de Redmi y POCO con mejoras de interfaz
Cómo desactivar Meta AI, el círculo azul de WhatsApp
Se aconseja habilitar la opción ‘privacidad avanzada del chat‘ en conversaciones que requieran mayor confidencialidad, ya que impide que Meta AI acceda o interactúe con los mensajes
WhatsApp estrena efectos de confeti y composiciones visuales festivas para recibir 2026 en chats y estados
Las novedades permiten personalizar chats, estados y canales, con efectos de celebración y opciones gráficas adaptadas a la temporada
OpenAI ya está disponible en Colombia: anuncian plan económico para ChatGPT premium
ChatGPT Go se posiciona como una mejor alternativa a la versión gratuita del chatbot, pues tiene mayor capacidad de mensajes, generación de imágenes, carga de archivos y memoria
