Un nuevo tipo de estafa digital está afectando a usuarios de PayPal mediante una estrategia que, a diferencia de las campañas tradicionales de phishing, utiliza el propio sistema de correos electrónicos legítimos de la plataforma para engañar a las víctimas.
Este ataque, que ha afectado a miles, busca robar credenciales y acceder a dispositivos, eludiendo filtros antispam gracias al respaldo del dominio oficial de PayPal.
¿Cómo es la estafa en PayPal?
Según BleepingComputer, el engaño comienza con un correo electrónico que aparenta ser una confirmación legítima de PayPal. El mensaje informa al usuario sobre una nueva dirección de envío y simula la confirmación de una costosa compra, como un MacBook M4 Max de 1TB.
El correo incluye un número de teléfono que parece ser de asistencia al cliente y pide que llames de inmediato si no autorizaste la compra.
El mensaje llega desde la dirección “[email protected]”, el mismo correo que PayPal utiliza para sus notificaciones oficiales.
Esto lo hace una de las técnicas de phishing más difíciles de detectar, ya que supera la verificación DKIM y no presenta errores gramaticales u ortográficos.
Incluso direcciones de correo sin cuentas en PayPal reciben estos mensajes, lo que sugiere un uso masivo de listas de distribución automatizadas por los ciberdelincuentes.
La clave de este engaño está en la función de “dirección de regalo” que PayPal introdujo para facilitar envíos a múltiples ubicaciones sin necesidad de modificar el perfil principal.
Aunque esta función busca ofrecer comodidad al usuario, los atacantes la han manipulado para emitir correos electrónicos completamente legítimos.
Los ciberdelincuentes acceden a cuentas de PayPal, ya sean propias o hackeadas, y añaden direcciones de envío adicionales. Esta acción dispara automáticamente un correo de confirmación enviado desde el sistema de PayPal.
Luego, mediante el uso de reglas de reenvío automático o listas de correo en Microsoft 365, ese correo termina en manos de potenciales víctimas.
Para amplificar la urgencia, los atacantes incluyen un mensaje personalizado dentro del campo de dirección de regalo, advirtiendo de una compra sospechosa e instando a llamar de inmediato.
Este método evita el uso de dominios falsos o parecidos (como “paypall.com” o “paypal-security.com”) que solían ser característicos del phishing.
Al provenir directamente del sistema de PayPal, el mensaje no solo luce legítimo, sino que también evade las defensas tradicionales de los proveedores de correo.
¿Cómo protegerse de estas estafas?
Expertos recomiendan actuar con calma y nunca confiar en la veracidad de un correo solo por su apariencia o dominio.
Si recibes una notificación inesperada sobre una compra o un cambio en tu cuenta, es fundamental que no llames al número incluido ni hagas clic en enlaces sospechosos.
La mejor práctica es ingresar directamente a la página oficial de PayPal desde un navegador seguro y verificar manualmente los movimientos recientes de la cuenta.
Si no se detectan transacciones inusuales ni direcciones agregadas, el correo puede descartarse como parte del esquema fraudulento.
