Cuidado: estafas con PayPal usan emails reales para colarte compras falsas
Una estafa abusa del sistema de suscripciones de PayPal para enviar correos reales con falsas compras, burlando filtros de seguridad y alarmando a miles de usuarios.
Investigadores han destapado una nueva campaña de fraude que está aprovechando una función legítima de PayPal para enviar correos electrónicos falsos de compra que, de forma sorprendente, proceden directamente de los servidores oficiales de la compañía.
Para llevarlo a cabo, los ciberdelincuentes están abusando del sistema de suscripciones de PayPal, con el que generan mensajes auténticos que incluyen notificaciones de pagos inexistentes por productos de alto valor.
Desde hace meses, numerosos usuarios han informado de correos electrónicos con un asunto relacionado con la cancelación de un pago automático. No obstante, en el campo de URL de atención al cliente, los atacantes han insertado un texto fraudulento que asegura que se ha procesado una compra de entre 1.300 y 1.600 dólares, normalmente asociada a dispositivos electrónicos de precio elevado.
El mensaje incluye una supuesta confirmación del pago, un dominio web y un número de teléfono que invita a contactar con un falso soporte de PayPal para cancelar o disputar la transacción.
Para dificultar la detección automática, el texto está repleto de caracteres Unicode que alteran el formato visual, haciendo que partes del mensaje aparezcan en negrita o con tipografías irregulares.
Lo más preocupante es que estos correos no son simples falsificaciones. Se envían desde la dirección oficial de PayPal y superan los controles de seguridad habituales, lo que provoca que los mensajes eviten filtros antispam y generen una alarma real entre los destinatarios.
El objetivo final de los ciberdelincuentes es provocar pánico y empujar a la víctima a llamar al número facilitado, una técnica que suele derivar en fraude bancario o en la instalación de software malicioso.
Los expertos recomiendan ignorar estos correos, no llamar nunca a los números incluidos y, ante cualquier duda, acceder directamente a la cuenta de PayPal para comprobar si existe algún cargo real.
PayPal ha confirmado que ya está mitigando el método utilizado y recuerda a los usuarios que cualquier comunicación sospechosa debe verificarse exclusivamente desde la aplicación o la web oficial, utilizando siempre los canales de contacto legítimos.