Una estafa perversa está dirigida a los clientes de Paypal. Los estafadores quieren atraer a los usuarios a una trampa telefónica con correos electrónicos engañosamente auténticos.
Los delincuentes quieren utilizar la estafa para convencer a los destinatarios de que llamen a una supuesta línea directa para permitir el acceso no autorizado a sus dispositivos.
En un correo electrónico sobre un cambio de dirección, los estafadores inicialmente le hacen creer que está realizando una compra costosa
El fraude de PayPal fue descubierto por la revista de ciberseguridad Bleeping Computer. Como resultado, muchos usuarios recibieron correos electrónicos desde la dirección realmente legítima service@paypal.com afirmando que habían agregado una nueva dirección a su cuenta.
El correo electrónico también contenía una confirmación falsa de la compra de un producto costoso como una MacBook M4 Max y una solicitud para comunicarse con el número de teléfono proporcionado en caso de autorización. Sin embargo, cualquiera que llame allí terminará directamente con los estafadores.
El supuesto soporte atrae a los clientes de Paypal a una trampa telefónica
Se presentan como apoyo e intentan molestar a las víctimas con fraudes de PayPal. Lo presionan para que descargue software para supuestamente evitar el acceso no autorizado.
De hecho, esto permite el acceso remoto a la computadora de la víctima, lo que puede provocar robo de datos o daños financieros.
Debido a la vulnerabilidad de PayPal, los correos electrónicos parecen engañosamente reales
Lo particularmente perverso de esta estafa es que los correos electrónicos en realidad se envían desde servidores de PayPal y, por lo tanto, parecen auténticos. Según los expertos, esto se debe a una vulnerabilidad en el sistema de gestión de direcciones de PayPal. Ingrese confirmaciones de compra falsas en el campo de dirección “Dirección adicional”. Dado que PayPal no tiene límite de caracteres en este campo, puede pegar en él el texto completo del mensaje fraudulento.
Esto significa que los correos electrónicos pasan fácilmente por los filtros de seguridad y de spam y aparecen como notificaciones legítimas de PayPal. Los interesados que comprobaron la autenticidad de los correos electrónicos descubrieron que no se habían añadido nuevas direcciones a sus cuentas, por lo que los mensajes eran completamente ficticios.
¿Recibiste un correo electrónico? Así es como te proteges de las estafas
En diciembre de 2025, PayPal solucionó una vulnerabilidad similar después de que Bleeping Computer también la descubriera. Sin embargo, no está claro si esto también afecta a la otra vulnerabilidad. Por lo tanto, los clientes deben seguir teniendo en cuenta el fraude de PayPal cuando reciban correos electrónicos relevantes.
Si recibe un correo electrónico de este tipo, no haga clic en los enlaces que contiene ni llame al número de teléfono proporcionado. En su lugar, inicie sesión directamente en el sitio de PayPal y verifique si realmente se han realizado cambios en su cuenta. Si no se han agregado nuevas direcciones, puede marcar el correo electrónico como spam y eliminarlo.
Bleeping Computer notificó a PayPal sobre la estafa. Queda por ver si la empresa introducirá medidas como limitar el número de caracteres en el campo de dirección para evitar ataques similares en el futuro. Hasta entonces, es importante permanecer atento y no revelar datos confidenciales si no está seguro de la autenticidad de un mensaje.
Fuentes: Bleeping Computer, Security Boulevard
About The Author
