Una estafa por correo electrónico abusa de la función de facturación «Suscripciones» de PayPal para enviar correos electrónicos legítimos de PayPal que contienen notificaciones de compra falsas incrustadas en el campo URL de servicio al cliente.
En los últimos meses, la gente ha informado (1, 2) recibir correos electrónicos de PayPal que indican: «Su pago automático ya no está activo».
El correo electrónico incluye un campo de URL de servicio al cliente que de alguna manera se modificó para incluir un mensaje que indica que compró un artículo costoso, como un dispositivo Sony, una MacBook o un iPhone.
Este texto incluye un nombre de dominio, un mensaje que indica que se procesó un pago de $1300 a $1600 (el monto varía según el correo electrónico) y un número de teléfono para cancelar o disputar el pago. El texto está lleno de caracteres Unicode que hacen que algunas partes aparezcan en negrita o con una fuente inusual, una táctica utilizada para intentar evadir los filtros de spam y la detección de palabras clave.
«http://(dominio) (dominio) Se procesó exitosamente un pago de $1346.99. Para cancelaciones y consultas, comuníquese con el soporte de PayPal al +1-805-500-6377», se lee en la URL de servicio al cliente en el correo electrónico fraudulento.
Fuente: BleepingComputer
Si bien esto es claramente una estafa, los correos electrónicos son enviados directamente por PayPal desde la dirección «service@paypal.com», lo que lleva a las personas a preocuparse de que sus cuentas hayan sido pirateadas.
Además, como los correos electrónicos son correos electrónicos legítimos de PayPal, pasan por alto los filtros de seguridad y spam. En la siguiente sección, explicaremos cómo los estafadores envían estos correos electrónicos.
El objetivo de estos correos electrónicos es engañar a los destinatarios haciéndoles creer que su cuenta compró un dispositivo costoso y asustarlos para que llamen al número de teléfono de «soporte de PayPal» del estafador.
Históricamente, correos electrónicos como estos se han utilizado para convencer a los destinatarios de que llamen a un número para realizar fraude bancario o engañarlos para que instalando malware en sus computadoras.
Por lo tanto, si recibe un correo electrónico legítimo de PayPal indicando que su pago automático ya no está activo y contiene una confirmación de compra falsa, ignore el correo electrónico y no llame al número.
Si le preocupa que su cuenta PayPal haya sido comprometida, inicie sesión en su cuenta y confirme que no hubo ningún cargo.
Cómo funciona la estafa de PayPal
BleepingComputer recibió una copia del correo electrónico de alguien que lo recibió y le resultó extraño que la estafa se originara en la dirección de correo electrónico legítima «service@paypal.com».
Además, los encabezados de los correos electrónicos indican que los correos electrónicos son legítimos, pasan los controles de seguridad de correo electrónico DKIM y SPF y se originan directamente desde el servidor de correo «mx15.slc.paypal.com» de PayPal, como se muestra a continuación.
ARC-Authentication-Results: i=1; mx.google.com;
dkim=pass header.i=@paypal.com header.s=pp-dkim1 header.b="AvY/E1H+";
spf=pass (google.com: domain of service@paypal.com designates 173.0.84.4 as permitted sender) smtp.mailfrom=service@paypal.com;
dmarc=pass (p=REJECT sp=REJECT dis=NONE) header.from=paypal.com
Received: from mx15.slc.paypal.com (mx15.slc.paypal.com. (173.0.84.4))
by mx.google.com with ESMTPS id a92af1059eb24-11dcb045a3csi5930706c88.202.2025.11.28.09.14.49
for
(version=TLS1_3 cipher=TLS_AES_256_GCM_SHA384 bits=256/256);
Fri, 28 Nov 2025 09:14:49 -0800 (PST)
Después de probar varias funciones de facturación de PayPal, BleepingComputer pudo replicar la misma plantilla de correo electrónico utilizando la función «Suscripciones» de PayPal y pausando a un suscriptor.
Las suscripciones de PayPal son una función de facturación que permite a los comerciantes crear opciones de pago de suscripción para que las personas se suscriban a un servicio por un monto específico.
Cuando un comerciante pausa la suscripción de un suscriptor, PayPal enviará automáticamente un correo electrónico al suscriptor para notificarle que su pago automático ya no está activo.
Sin embargo, cuando BleepingComputer intentó replicar la estafa agregando texto distinto de una URL a la URL de Servicio al Cliente, PayPal rechazó el cambio porque solo se permite una URL.
Por lo tanto, parece que los estafadores están explotando una falla en el manejo de los metadatos de suscripción por parte de PayPal o utilizando un método, como una API o una plataforma heredada que no está disponible en todas las regiones, que permite almacenar texto no válido en el campo URL de servicio al cliente.
Ahora que sabemos cómo generan el correo electrónico desde PayPal, todavía no está claro cómo se envía a las personas que no se registraron para la suscripción de PayPal.
Los encabezados de los correos muestran que PayPal en realidad está enviando el correo electrónico a la dirección «receipt3@bbcpaglomoonlight.studio», que creemos que es la dirección de correo electrónico asociada con un suscriptor falso creado por el estafador.
Es probable que esta cuenta sea una lista de correo de Google Workspace, que reenvía automáticamente cualquier correo electrónico que recibe a todos los demás miembros del grupo. En este caso, los miembros son las personas a las que se dirige el estafador.
Este reenvío puede provocar que todas las comprobaciones SPF y DMARC posteriores fallen, ya que el correo electrónico fue reenviado por un servidor que no era el remitente original.
Cuando BleepingComputer se puso en contacto con PayPal para preguntar si este problema se había solucionado, se negaron a comentar y en su lugar compartieron la siguiente declaración.
«PayPal no tolera actividades fraudulentas y trabajamos duro para proteger a nuestros clientes de tácticas de estafa en constante evolución», dijo PayPal a BleepingComputer.
«Somos conscientes de esta estafa de phishing y alentamos a las personas a estar siempre alerta en línea y atentas a los mensajes inesperados. Si los clientes sospechan que son el objetivo de una estafa, les recomendamos que se comuniquen con Atención al cliente directamente a través de la aplicación PayPal o nuestra página de contacto para obtener ayuda».
La IAM rota no es sólo un problema de TI: el impacto se extiende a toda su empresa.
Esta guía práctica cubre por qué las prácticas tradicionales de IAM no logran mantenerse al día con las demandas modernas, ejemplos de cómo es un «buen» IAM y una lista de verificación simple para construir una estrategia escalable.
