Artículo de blog
- 8 minutos leídos
- Kiara Saloojee
- DMARC Enthusiast
Estafa por correo electrónico de PayPal: cómo funcionaba la laguna jurídica de las suscripciones
En diciembre de 2025, una nueva estafa por correo electrónico de PayPal destacó por una razón: los mensajes no solo eran auténticos, sino que realmente se enviaban desde la infraestructura de PayPal y llegaban desde service@paypal.com.
Esto hizo que esta campaña fuera mucho más convincente que phishing habituales phishing con dominios similares. En lugar de suplantar el dominio de PayPal, los estafadores abusaron de las suscripciones de PayPal para activar correos electrónicos de notificación legítimos y, a continuación, utilizaron esos mensajes para mostrar detalles de «compra» falsos y un número de teléfono diseñado para atraer a los destinatarios a una estafa de devolución de llamada.
Los atacantes no siempre necesitan suplantar al remitente para conseguir clics o llamadas, también pueden abusar de servicios de confianza para enviar mensajes convincentes. Pero la suplantación sigue siendo un riesgo importante para las empresas: si tu dominio puede ser falsificado, los estafadores pueden hacerse pasar por tu marca y llegar a los buzones de correo electrónico a gran escala.
Para que sea más difícil, necesitas una autenticación de correo electrónico sólida: Sender Policy Framework SPF), DomainKeys Identified Mail DKIM) y autenticación, informe y conformidad de mensajes basados en dominio (DMARC).
Reserva una demostración para ver cómo Sendmarc te ayuda a aplicar DMARC, supervisar DKIM SPF DKIM y detectar suplantaciones y configuraciones erróneas antes de que se conviertan en incidentes.
Cómo funciona la estafa por correo electrónico de PayPal
Esta estafa por correo electrónico de PayPal comenzó con un proceso legítimo de PayPal que se transformó en una notificación fraudulenta.
BleepingComputer informó que los estafadores utilizaron la función de facturación «Suscripciones» de PayPal para crear una suscripción y luego pausarla. Esa pausa activa el correo electrónico de notificación real de PayPal: «Tu pago automático ya no está activo».
Dentro del correo electrónico, los atacantes hicieron un uso indebido del campo «URL del servicio de atención al cliente». En lugar de un enlace de asistencia legítimo, el campo mostraba un texto que parecía una URL, seguido de una confirmación de compra falsa y un número de teléfono para «cancelar» el pago. Los atacantes también utilizaron una cuenta de suscriptor falsa (probablemente una lista de correo de Google Workspace) para reenviar automáticamente los mensajes entrantes a los miembros del grupo.
El ejemplo de BleepingComputer incluía un cargo falso de alto valor y un número de asistencia no solicitado. El mensaje también utilizaba caracteres Unicode para que algunas partes del texto aparecieran en negrita o con un aspecto inusual, lo que puede ayudar a eludir los filtros de spam y la detección basada en palabras clave.
El objetivo no era robar tu contraseña de PayPal en un navegador. Era conseguir que una persona llamara, entrara en pánico y siguiera unas instrucciones que conducían al acceso remoto, al malware o al fraude financiero.
¿Qué hacer si recibes un correo electrónico sospechoso de PayPal?
Estafas similares siguen reapareciendo con nuevas formas. Lo más seguro es tratar cualquier correo electrónico inesperado sobre «compras» o «acciones urgentes» como no fiable hasta que lo verifique a través de los canales oficiales.
Esto es lo que hay que hacer:
- No llames a los números de teléfono que aparecen en el correo electrónico y no hagas click enlaces inesperados.
- Inicia sesión directamente en PayPal (escribe la dirección o utilice la aplicación) y comprueba tu actividad reciente.
- Si el mensaje parece sospechoso, reenvíela a phishing y elimínalo.
Si administras una organización, avisa a tu servicio de asistencia técnica para que otros empleados no sigan las instrucciones de devolución de llamada.
Lista de verificación de seguridad
| Verifica esto | Acción segura |
| ¿Hubo realmente una transacción? | Compruébalo en la aplicación/sitio web de PayPal (no en el correo electrónico). |
| ¿El correo electrónico te impulsa a llamar? | Ignora el número y utiliza las vías de asistencia oficiales. |
| ¿El mensaje es inesperado o urgente? | Trátalo como sospechoso hasta que se verifique |
Respuesta de PayPal: La laguna jurídica se cerró en diciembre de 2025
PayPal declaró a BleepingComputer que estaba mitigando activamente el asunto, afirmando que:
«Estamos mitigando activamente este asunto y animamos a las personas a que estén siempre alerta en Internet y presten atención a los mensajes inesperados.
Si los clientes sospechan que son víctimas de una estafa, les recomendamos que se pongan en contacto con el servicio de atención al cliente directamente a través de la aplicación PayPal o de nuestra página de contacto para obtener ayuda.
Tras la investigación de BleepingComputer, se informó de que PayPal había cerrado la brecha que permitía a los estafadores enviar correos electrónicos legítimos desde service@paypal.com con notificaciones de compra falsas.
Incluso con una solución implementada, esto es un recordatorio útil para los equipos de seguridad: los atacantes seguirán buscando formas de explotar los canales de confianza y la urgencia humana. Por eso las empresas no pueden confiar únicamente en el reconocimiento de la marca. También deben asegurarse de que su propio dominio no pueda ser suplantado.
Impide la suplantación de identidad de tu empresa con DMARC
DMARC le indica a los proveedores de buzones de correo qué hacer cuando un correo electrónico afirma provenir de tu dominio, pero no supera las comprobaciones de autenticación.
Cuando DMARC se implementa y aplica correctamente:
- Los correos electrónicos falsos que pretenden provenir de su organización tienen muchas más probabilidades de ser puestos en cuarentena o rechazados.
- Recibirás reporte muestra qué sistemas están enviando como tu dominio y dónde falla la autenticación.
- Reducirás la probabilidad de que tu dominio sea utilizado en intentos de suplantación de identidad y protegerás la reputación de tu marca.
Una forma práctica de hacerlo es conseguir que SPF DKIM de manera confiable en todos los remitentes legítimos y, a continuación, pasar DMARC la supervisión a la aplicación, con el objetivo de p=reject una vez que haya validado sus fuentes de envío.
Sendmarc te ayuda a hacerlo sin conjeturas, mapeando su panorama real de envíos, señalando a tiempo los desajustes y los remitentes desconocidos, y apoyando una progresión segura hacia la aplicación de la ley.
Reserva una demostración para ver cómo DMARC, la supervisión y las alertas en tiempo real pueden hacer que tu empresa sea mucho más difícil de suplantar.