Estafa del correo "se requiere verificación de cuenta PayPal": cómo detectarla en 10 segundos

Cómo se ve la estafa

El correo muestra el logo azul de PayPal, una línea de asunto como "Acción requerida: verifique su cuenta" o "Importante: actividad inusual detectada", y un botón con la etiqueta "Verificar ahora" o "Resolver problema". El botón lleva a una página de inicio de sesión falsa de PayPal que captura su correo y contraseña, luego a un formulario de "verificación" que pide su nombre, dirección, fecha de nacimiento, número completo de tarjeta de crédito o cuenta bancaria, código de seguridad y, a veces, un número de Seguro Social. El atacante usa los datos robados para vaciar el saldo de PayPal, abrir líneas de crédito o vender el paquete completo de identidad en un mercado de la dark web por entre $20 y $200, dependiendo de qué tan completo sea.

Los correos reales de PayPal son conservadores. Dicen "inicie sesión en su cuenta PayPal" y solo enlazan a paypal.com. Nunca piden su número completo de Seguro Social ni los datos completos de su tarjeta por correo.

Las 7 variantes de mensaje en rotación activa

1. Actividad inusual

"Hemos detectado actividad de inicio de sesión inusual en su cuenta PayPal. Para protegerlo, su cuenta ha sido limitada temporalmente."

2. El pago falso recibido

"Ha recibido un pago de $487.50 de [nombre aleatorio]. Para aceptar este pago, haga clic aquí." El usuario hace clic esperando tomar el dinero, aterriza en el inicio de sesión falso.

3. El pago falso enviado

"Usted autorizó un pago de $899 a [alguna empresa]. Si no autorizó esto, haga clic aquí para cancelar." Contraparte de la variante 2, explota el pánico en lugar de la avaricia.

4. La fecha límite de verificación

"Su cuenta PayPal será limitada en 48 horas a menos que verifique su información."

5. La alerta de nuevo inicio de sesión

"Un nuevo dispositivo acaba de iniciar sesión en su cuenta PayPal desde [país aleatorio]. Si no fue usted, asegure su cuenta."

6. La factura falsa

"Tiene una nueva factura por $1,247.99 de [nombre genérico de empresa]. Ver factura." A veces la factura se envía a través del sistema real de PayPal (la facturación de PayPal es una función real que los estafadores abusan), lo que hace que el correo pase las verificaciones DMARC.

7. La oferta de reembolso

"Le debemos un reembolso de $35.99 debido a un error de facturación. Haga clic aquí para recibir su reembolso." El formulario de reembolso pide la tarjeta a la cual reembolsar.

Cómo detectar el falso en 10 segundos

• Dominio del remitente. El PayPal real envía desde @paypal.com, @service.paypal.com o @email.paypal.com. Cualquier otro (como @paypal-secure.com, @paypal-account.support, @security-paypal.net) es una estafa.
• Destino del enlace. El botón debe llevar a paypal.com. paypal.com.verify.xyz no es PayPal. paypal-secure.xyz no es PayPal. Solo paypal.com (con variantes por país como paypal.co.uk) es real.
• Saludo. El PayPal real usa el nombre y apellido de la cuenta. "Estimado cliente PayPal" o "Estimado usuario" es falso.
• Urgencia. "48 horas" o "su cuenta será limitada permanentemente" es presión. Las revisiones reales de limitación de PayPal toman más tiempo y nunca requieren que haga clic en un enlace de correo.
• Pide número de Seguro Social, número de tarjeta o contraseña bancaria por correo. El PayPal real nunca lo hace. Jamás.
• Factura de un nombre que no reconoce. Incluso si llegó a través del sistema real de facturación de PayPal, simplemente elimínela o repórtela. No haga clic en "Pagar ahora".

La verificación en 5 pasos

1. No haga clic en el botón del correo.
2. Abra un navegador y escriba paypal.com manualmente. O abra la app de PayPal en su teléfono.
3. Inicie sesión. Si hay un problema real, PayPal muestra un banner amarillo o rojo en su panel.
4. Revise Cartera → Actividad reciente. Cualquier transacción que no reconozca es reportable a través de la misma interfaz.
5. Revise Configuración → Seguridad → Historial de inicio de sesión. Cualquier dispositivo desconocido es señal de que su cuenta está comprometida.

Si ya ingresó los datos de su tarjeta o banco

1. Llame a su banco o abra la app del banco y congele la tarjeta inmediatamente.
2. Solicite una tarjeta de reemplazo con un número nuevo.
3. Cambie su contraseña de PayPal en paypal.com. Active la autenticación de dos factores.
4. Cierre sesión en todos los dispositivos desde Configuración → Seguridad.
5. Revise y reporte transacciones no autorizadas de PayPal en paypal.com/disputes. La Protección al Comprador de PayPal a menudo reembolsa estas si se reportan dentro de 180 días.
6. Si dio su número de Seguro Social, coloque una alerta de fraude con una de las tres burós de crédito estadounidenses (Equifax, Experian, TransUnion). La alerta es gratuita y dura 1 año.
7. Reporte el correo de phishing a PayPal en spoof@paypal.com. Reenvíelo sin modificar el correo.
8. Si usó la misma contraseña en otros lugares, cámbielas también. Los ataques de credential-stuffing prueban la contraseña robada en Gmail, Amazon, accesos bancarios y exchanges de criptomonedas en cuestión de horas.

Por qué el phishing de PayPal sigue funcionando

Tres razones estructurales:

• Las revisiones reales de limitación de PayPal existen. Si vende en eBay o Etsy, es posible que realmente haya recibido un correo real de limitación de PayPal en algún momento. La familiaridad reduce la sospecha.
• El propio sistema de facturación de PayPal puede ser abusado. Los estafadores envían facturas reales de PayPal desde la infraestructura de correo de PayPal. El correo pasa SPF, DKIM y DMARC porque realmente es de PayPal. Solo el contenido de la factura es fraudulento.
• Cuentas bancarias vinculadas. A diferencia de las tarjetas de crédito (que tienen protección de contracargo), los vaciados de cuenta bancaria vía PayPal pueden ser más difíciles de revertir si usted autorizó la transferencia.

Cómo la defensa a nivel de navegador detecta esto antes

La detección del lado del remitente falla porque el sistema legítimo de facturación de PayPal puede entregar facturas estafa que pasan todas las verificaciones de correo. La defensa que sí funciona está en el destino del clic. Cuando hace clic en "Pagar factura" y aterriza en una página de inicio de sesión falsa que imita a PayPal pero en realidad es paypal-account-verify.xyz, un escáner a nivel de navegador puede bloquear la página antes de que el formulario cargue.

SafeBrowz es una extensión gratuita para Chrome, Firefox y Edge que escanea cada URL antes de que la página renderice. Su base de datos de más de 550 marcas incluye PayPal. Instale SafeBrowz gratis para protección en PayPal, Apple, Amazon, Netflix, Microsoft, su banco y todos los demás inicios de sesión que tenga.

Preguntas frecuentes

¿PayPal alguna vez me pide verificar mi cuenta por correo?

PayPal sí envía correos legítimos de "verifique su información" para cumplimiento fiscal (umbral del Formulario 1099-K), actualizaciones regulatorias o revisiones de cuentas de vendedor. La diferencia: los correos reales de PayPal le piden iniciar sesión en paypal.com y completar la verificación dentro de su cuenta. Nunca enlazan a un dominio de terceros, y nunca piden número de Seguro Social, contraseña bancaria o datos completos de tarjeta por correo.

Recibí una factura a través del PayPal real que parece una estafa. ¿Debo pagarla?

No la pague. El sistema de facturación de PayPal es cada vez más abusado por estafadores. Las facturas reales de PayPal aparecen en su cuenta de paypal.com en Actividad. Ignore el botón del correo, inicie sesión directamente y rechace la factura desde dentro de su cuenta. Reporte la factura como fraudulenta dentro de PayPal.

Ingresé correo y contraseña pero PayPal me pidió un código 2FA que yo no activé. ¿Ya inició sesión el atacante?

Sí, casi con certeza. El atacante activó la solicitud de 2FA al intentar iniciar sesión con sus credenciales robadas. No ingrese el código en la página falsa. Cambie su contraseña de PayPal inmediatamente y revise el historial de inicio de sesión.

Protección al Comprador de PayPal: ¿cubre transferencias autorizadas inducidas por phishing?

La Protección al Comprador cubre problemas del lado del comprador con artículos pagados. NO cubre transferencias que usted autorizó a un estafador (porque se ven como pagos normales). Si envió dinero a un estafador a través de PayPal, su mejor camino es disputar a través de su banco o tarjeta vinculados bajo "transacción fraudulenta" en lugar de a través de PayPal directamente.

¿Debo cerrar mi cuenta de PayPal si fui víctima de phishing?

Usualmente no es necesario. Después de restablecer la contraseña, activar 2FA, eliminar dispositivos desconocidos y tarjetas vinculadas, y disputar cualquier transacción no autorizada, la cuenta generalmente es segura para conservar. Cerrarla y reabrirla pierde su historial de transacciones y cualquier caso de disputa abierto.

¿Cómo reenvío un correo de phishing de PayPal para que lo eliminen?

Reenvíelo a spoof@paypal.com sin modificar nada. No cambie el asunto. No edite el cuerpo. El equipo de seguridad de PayPal usa los encabezados originales para presentar solicitudes de retiro de dominios con los proveedores de hosting y registradores.

Lecturas relacionadas

• Estafa del correo "inicio de sesión sospechoso en cuenta Microsoft"
• Estafa del correo "su Apple ID ha sido bloqueado"
• Estafa del correo "cuenta Netflix en espera"
• Cómo saber si un sitio web es una estafa

En resumen: el phishing de PayPal sigue funcionando porque las revisiones reales de limitación de PayPal se ven casi idénticas. La defensa es la misma que ha sido durante una década. No haga clic en botones de correo. Escriba paypal.com manualmente. Nunca dé número de Seguro Social, contraseñas bancarias ni datos completos de tarjeta en una página a la que llegó desde un correo. Añada un escáner a nivel de navegador como SafeBrowz para protección en todos sus inicios de sesión.